Schon die ganzen Sicherheitslücken entfernt ? Wenn nicht würde ich es an deiner Stelle schnell machen. Da wie ich gehört habe sehr viele Down gehen die das CMS benutzen.
Schon die ganzen Sicherheitslücken entfernt ? Wenn nicht würde ich es an deiner Stelle schnell machen. Da wie ich gehört habe sehr viele Down gehen die das CMS benutzen.
Soviele Sicherheitslücken sind gar nicht vorhanden, in anderen sind deutlich mehr.
Schau doch mal im Index des Housekeepings.
Vergleich mal ein Teil der PHP Codes mit dem Schutz von Steve oder Johnix.
Ich sagte, Xobbu hält nicht lange durch 
alleine huggocms...
Ich sagte, Xobbu hält nicht lange durch
alleine huggocms...
Also ich würde mal mit deinem Bebba CMS die Füße Still halten, cowboy.
Das Huggo enthält bereits einen solchen Schutz.
Ich finde, man braucht ihn nicht, solange niemand auf die Links klickt.
Liebe Grüsse
Einfach in die Core das reinhauen am besten in den Anfang
/** * CSRF Protection
* @author Steve Winfield
**/
session_start();
ob_start();
if (!isset($_SESSION['SEC_TOKEN'])) $_SESSION['SEC_TOKEN'] = md5(uniqid().uniqid().mt_rand());
if (count($_POST) > 0 && (!isset($_POST['token']) || $_POST['token'] != $_SESSION['SEC_TOKEN'])) exit;
register_shutdown_function(function() {
$data = ob_get_clean();
preg_match_all('\'<form .*?>(.*?)</form>\'si', $data, $match, PREG_OFFSET_CAPTURE);
$toAdd = 0;
$hiddenToken = '<input type="hidden" name="token" value="'.$_SESSION['SEC_TOKEN'].'" />';
if($match) {
foreach ($match[0] as $entry) {
$data = substr($data, 0, ($offset = (strpos($entry[0], '</form>') + $entry[1] + $toAdd))) . $hiddenToken . substr($data, $offset);
$toAdd += strlen($hiddenToken);
}
}
echo $data; });Das ist der CSRF Schutz von Steve
Einfach in die Core das reinhauen am besten in den Anfang
PHP/** * CSRF Protection * @author Steve Winfield **/ session_start(); ob_start(); if (!isset($_SESSION['SEC_TOKEN'])) $_SESSION['SEC_TOKEN'] = md5(uniqid().uniqid().mt_rand()); if (count($_POST) > 0 && (!isset($_POST['token']) || $_POST['token'] != $_SESSION['SEC_TOKEN'])) exit; register_shutdown_function(function() { $data = ob_get_clean(); preg_match_all('\'<form .*?>(.*?)</form>\'si', $data, $match, PREG_OFFSET_CAPTURE); $toAdd = 0; $hiddenToken = '<input type="hidden" name="token" value="'.$_SESSION['SEC_TOKEN'].'" />'; if($match) { foreach ($match[0] as $entry) { $data = substr($data, 0, ($offset = (strpos($entry[0], '</form>') + $entry[1] + $toAdd))) . $hiddenToken . substr($data, $offset); $toAdd += strlen($hiddenToken); } } echo $data; });Das ist der CSRF Schutz von Steve
Mach das nicht dann gehen viele Sachen nicht mehr
Mach das nicht dann gehen viele Sachen nicht mehr
Das ist der Grund, wieso ich im Thread sagte man solle das nur in der Core des Housekeepings einfügen (Wäre bei "ReCMS" die index.php von /manage/...)
Cheers,
Steve Wnfield
Das ist der Grund, wieso ich im Thread sagte man solle das nur in der Core des Housekeepings einfügen (Wäre bei "ReCMS" die index.php von /manage/...)Cheers,
Steve Wnfield
hab dat sofort in meine global.php gepackt bruder...
Richtiger man. 
Thanks
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
