Fehler in tutorials

Hier finden sich Fragen und Ergänzung zur Dokumentation. // All questions and discussions about the documentation.
Antworten
Benutzeravatar
Screeze
Beiträge: 1920
Registriert: 05.08.2009, 09:49:04
Kontaktdaten:

Fehler in tutorials

Beitrag von Screeze » 10.08.2009, 12:44:15

Ich hoff das passt mit zur doku, ansonsten verschieben :D

Mir ist grade was aufgefallen:
http://adventure-php-framework.org/Seit ... -erstellen

Hier finden sich mehrere schönheitsfehler.

zum einen:

Punkt 5.0:

Code: Alles auswählen

   1. <br />  
   2. <a href="./?Seite=Startseite">Startseite</a>  
   3. <br />  
   4. <a href="./?Seite=Impressum">Impressum</a>  
Hier wird "Seite" als parameter benutzt.
In 5.1 und 5.2 arbeitest du aber mit "Page" weiter.

--------------------------------------------------------------

5.2:

Code: Alles auswählen

# // URL-Parameter definieren  
#       if(isset($_REQUEST['Page']) && !emptyempty($_REQUEST['Page'])){  
emptyempty... hat sich wohl ein verdopplungsfehler eingeschlichen.

--------------------------
5.2:
Du arbeitest hier generell mit $_REQUEST, bei url parametern wäre aber _GET schöner.
-------------------------
5.2:
Gerade in hinblick auf mögliche Anfänger, die sich an das Framework wagen, wäre es sinnvoll entweder
a. mysql injections zu vermeiden
b. dazuzuschreiben, dass dies unbedingt noch eingebaut werden muss.

Denn hier:

Code: Alles auswählen

# // Inhalt der Seite auslesen  
#       $select = 'SELECT PageContent  
#                  FROM demopage_content  
#                  WHERE PageURLName = \''.$Page.'\'  
#                  LIMIT 1';  
Werden url parameter ungefiltert in ein statement eingebaut.

Ich würde diese Stelle aber direkt nutzen, um die APF-methoden für das absichern von statements vorzustellen. (vorrausgesetzt es gibt welche, entsprechende erklärungen suche ich noch vergeblich bisher)


edit: ich hab mal eben das kommentar-tutorial überflogen, um zu schaun ob hier entsprechende methoden vorgestellt werden, aber ich glaube auch hier werden klassische sql injections ermöglicht, oder?
edit2: gästebuchtutorial ebenso

Benutzeravatar
Tom
Beiträge: 25
Registriert: 06.08.2009, 15:54:29
Kontaktdaten:

Re: Fehler in tutorials

Beitrag von Tom » 11.08.2009, 16:40:17

Bezüglich SQL-Injections: Wie wäre es in dem Sinne direkt auf MySQLi Prepared Statements zu setzen?
Gruß,
Tom

Benutzeravatar
dr.e.
Administrator
Beiträge: 4605
Registriert: 04.11.2007, 16:13:53

Re: Fehler in tutorials

Beitrag von dr.e. » 11.08.2009, 22:00:07

Hallo Screeze,

sorry, dass ich erst heute antworte, ich hatte irgendwie dein Posting gestern übersehen. :? Vielen Dank schon mal für deine Hinweise!
Punkt 5.0:
Hier wird "Seite" als parameter benutzt.
In 5.1 und 5.2 arbeitest du aber mit "Page" weiter.
Habe ich ausgebessert und eine SQL-Injection-Sicherung eingebaut. Diese sollte zusammen mit den Filtern (siehe http://adventure-php-framework.org/Seit ... abe-Filter) einen wirksamen Schutz bieten.
emptyempty... hat sich wohl ein verdopplungsfehler eingeschlichen.
In den Quellen der Seite ist es korrekt, nach dem Autoformat des JS-Code-Highlight-Plugins nicht mehr. Mist! Ich muss mich also mal nach einem neuen Highlighter umsehen. :(
5.2:
Du arbeitest hier generell mit $_REQUEST, bei url parametern wäre aber _GET schöner.
Das Beispiel habe ich auf den RequestHandler umgestellt. Dieser arbeitet zwar auch mit dem $_REQUEST-Array, jedoch wird dieses bereits durch die Input-Filter gejagt.
edit: ich hab mal eben das kommentar-tutorial überflogen, um zu schaun ob hier entsprechende methoden vorgestellt werden, aber ich glaube auch hier werden klassische sql injections ermöglicht, oder?
edit2: gästebuchtutorial ebenso
In diesem Beispielen sind SQL-Injections möglich - ja. Ich habe einen entsprechenden Hinweis ergänzt, denn der Fokus der Tutorials soll klar auf der Implementierung liegen. Da ist es etwas hinderlich - wenngleich auch aus dem Aspekt der Sicherheit notwendig - auf das vielfältige Thema SQL-Injection einzugehen. Die Im Framework enthaltenen Maßnahmen kannst du auch nochmal unter http://adventure-php-framework.org/Seite/075-Security nachlesen.

Viele Grüße,
Christian
Viele Grüße,
Christian

Benutzeravatar
Screeze
Beiträge: 1920
Registriert: 05.08.2009, 09:49:04
Kontaktdaten:

Re: Fehler in tutorials

Beitrag von Screeze » 11.08.2009, 22:41:56

alles klar.

ist der artikel neu? hab den vorher nicht gefunden ;)

Benutzeravatar
dr.e.
Administrator
Beiträge: 4605
Registriert: 04.11.2007, 16:13:53

Re: Fehler in tutorials

Beitrag von dr.e. » 11.08.2009, 22:55:20

Hi,

der ist leider etwas versteckt, wird aber beim Relaunch der Seite besser in den Vordergrund gerückt.

Viele Grüße,
Christian
Viele Grüße,
Christian

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast