securityfilter

    hi,

    in inclues/functions/securityfiler.php hat sich ein kleiner Fehler eingeschlichen:

    Zeile 149:

    PHP
    (preg_match(mb_strtolower("/<[^>]*select.*\"?[^>]*>/i", $secvalue))) ||

    hier ist die Klammer falsch gesetzt. Richtig wäre:

    PHP
    (preg_match(mb_strtolower("/<[^>]*select.*\"?[^>]*>/i",'UTF-8'), $secvalue)) ||

    wobei das Charset bei mb_strtolower optional ist...
    eventuell war auch das hier gemeint:

    PHP
    (preg_match("/<[^>]*select.*\"?[^>]*>/i",mb_strtolower($secvalue,'UTF-8'))) ||


    was etwas mehr sinn macht als den regulären Ausdruck klein zu machen, wobei so ganz erschließt sich mir auch hier nicht der Sinn, denn das i sollte ja bereits alles case insensitive machen. Aber eventuell gibts ja irgend nen Angriff, für den das mb_strtolower Sinn macht

    4 Mal editiert, zuletzt von SaHiB (4. März 2014 um 00:06)

    Du hast recht. Modifikator "i" im Muster macht das unnötig. Zeile 137-148 und 150 machen ihre Arbeit ganz ohne mb_strtolower. Wieso muss es dann in Zeile 149 anders sein?..
    Zu den Entwicklern:
    Der Code im Release muss meiner Meinung nach frei von auskommentierten Debug-Ausgaben und nicht verwendeten Features sein. Außerdem die('Arsch'); finde ich unprofessionell.

    Zitat

    und nicht verwendeten Features sein

    hmm dies stimme ich nicht zu, weil jeen kan ja oder nein vielleicht doch etwas davon benutzen, oder es ist ein vorbereitung extra sachen die noch kommen ( also noch nicht verwendete ) ;), oder module die man oder beim comseo kaufen/downloaden kan oder beim drit wie zahlanbieter / preissuchmachine usw.

    Den Debug hmm yep, wen es fertig ist, wie gesagt es ist oft einiges beim Software immer in bearbeitung zum verbesserung / bugfixes, erneuerungen, erweiterungen. unsw

    der dessen code "sauber" ist, werfe den ersten Stein!
    Im Ernst - was ihr aus xtc in den letzten jahren gemacht habt verdient Respekt. Ich mach Shops nur hin und wieder, so 1-2 im jahr und jedes mal wenn ich nach nem halben jahr mir die aktuelle Version anschaue bin ich wieder begeistert über die vielen verbesserungen - Schritt für Schritt gehts voran.

    Nur die Templates sind immer noch für den die('Arsch');
    Wenn man da vond er Werbeagentur ne Optik vorgegeben bekommt muss man sich immer sooo verrenken um cseo da hin zu biegen wo man es braucht. Hier Verbessung schaffen, würde cseo bei Programmierern sicher beliebter machen :)

    Das aktuelle tempalte v2next-standard - da kackt mir sogar der firebug ab, ich kann meistens nicht mal ein element direkt untersuchen.
    Dazu alles irgendwo, irgendwie am floaten. nix gegen so viel floaten, aber doch nicht jedem element explizit den mist zu ordnen. nutzt doch ein grid-system, dann ist das wenigstens sauber :)
    aber: alles jamern auf hohem niveau

    Danke für die Hinweise. Da hat ja wirklich mal jemand in die Tiefe geschaut :) Ja, die(Arsch); ist halt auch mal ein kleiner Scherz am Rande ;) Muss halt auch mal sein. Aber im Ernst, bisher haben wir keinen Fall, wo jemand bis dahin mal durch gedrungen ist, da bereits im oberen Bereich alles gefiltert wird.
    Wir überarbeiten diesen Bereich aber gerade, da man hier noch ein wenig optimieren kann.

    <p>Wir geben nur Anregungen und Hilfestellung auf Basis unserer Erfahrung, keine Rechtshilfe!<br>\m/('_')\m/</p>