POST<->GET

[Thulsadoom]

Ich habe in der Suchfunktion nicht entsprechendes gefunden also Sorry falls es schon mal vorkam.

Hab mir das Tool jetzt auf den Server installiert und bei GET-Übergaben der gesuchten Begriffe (wie zB insert into) funktioniert das auch wunderbar.

Wenn man aber einen dieser Begriffe in ein Formular eingibt welches per POST übertragen wird greift das Tool nicht.

Habe ich etwas falsch gemacht oder ist das generell nicht vorgesehen, weil theoretisch könnte man ja auch damit Unfug treiben.

[Nordin]

Hallo Thulsadoom,

ich brauch noch nen paar infos weil versteh grad nur bahnhof *g*

Von welcher Version reden wir?

Was meinst du mit:

und bei GET-Übergaben der gesuchten Begriffe (wie zB insert into) funktioniert das auch wunderbar.

Wenn man aber einen dieser Begriffe in ein Formular eingibt welches per POST übertragen wird greift das Tool nicht.

Ich vermute wir reden jetzt von der v1.4.BETA.X und dort speziell über den SPAM-Filter??
Falls das so ist, kann ich nur sagen der SPAM-Filter Arbeitet im moment nur auf POST-Basis

ist das generell nicht vorgesehen,

Was ist nicht vorgesehen?

weil theoretisch könnte man ja auch damit Unfug treiben.

Womit und wie könnte man Unfug treiben?

[Thulsadoom]

Spam-Filter? Ich bin doch hier im Forum des CTracker Xtra der ja Webserver vor diversen Attacken (sql-injects) etc. schützt. Wenn diese Suchwörter per Get-Variable (also seite.hml?varialbe=insert into&soweiter) dann funktioniert das auch wunderbar.

Wenn ich aber zB dieses "insert into" in ein Formular einfüge dass per POST abgeschickt wird (in meinem konkreten Fall http://www.manowar.at/mwg/newsletter) dann meldet er sich nicht.

Mache ich da was falsch oder ist das für den Fall nicht vorgesehen?

[Nordin]

ahh jetzt verstehe ich... (ist ein guter ansatz zum nachdenken)

Also der CTXtra überprüft die REQUEST_URI also nur GET...

Wenn du angst hast das jemand dein script von auserhalb anspricht, dann überprüfe vorher den Referer.

z.B. So:

if ($_SERVER['HTTP_REFERER'] == 'http://www.manowar.at/mwg/newsletter') {
   // Hier kommt dein Script rein
} else {
  die("'Hacking attempt...")
}

oder

du machst es so:

füge in deine index.php folgendes ein:

define('mein_geheimes_wort', 1);

und in deinem newsletter script fügst du dann das ein:

if (!defined('mein_geheimes_wort'))  die('Hacking attempt...');

Sobald jemand dann dein newsletterscript aufruft ohne über die index.php gekommen zu sein wird das nichts werden

Aber wie gesagt ein guter gedanken-anstoß für mich DANKE!

[Thulsadoom]

Hmm entweder versteh ich dich nicht, oder du mich nicht, oder beides 

Die Seite soll durchaus von aussen erreichbar sein (sonst würd ichs wohl mit .htaccess oder so schützen).

Aber genauso wie man per GET Befehle wie "insert into" etc. übergeben kann geht dass doch auch per Post.

Wenn man jetzt auf dieser Seite (http://www.manowar.at/mwg/newsletter)

im Feld Mailadresse jetzt zB "insert into ..." einträgt könnte damit dann ja theoretisch auch Unfug getrieben werden.

Da das Formular aber per POST abgeschickt wird.. erkennts die REQUEST_URI wohl nicht (war mir nicht sicher ob die nur GET-Variablen erkennt).

Gibts eine Möglichkeit auch POST-Variablen in die Kontrolle einzubinden?


Aber abgesehen davon mal großes Lob an deine Bemühungen den doch etwas mageren Standard CTracker Standalone zu optimieren 

[Nordin]

jetzt aber *g*

Also du willst im grunde den POST deines Emailfeldes überprüfen...
Falls das so ist, dafür is der CTracker nicht gedacht aber ich hab da ne idee.

Wenn du den ctracker auch im newsletterscript includet hast dann dann könntest du bevor mail() ausgeführt wird den POST überprüfen... und zwar so (nicht getestet):

$post_cracktrack = $_POST['deine_var'];  // die POST variable des Emailadressfeldes

while ($worm_cracktrack != $post_cracktrack)
$checkpost = str_replace($wormprotector, '*', $post_cracktrack);

if ($checkpost != $post_cracktrack) {
  // hier deine mail() - Funktion
} else {
  die("'Hacking attempt...");
}

also wenn das geht wärs ja cool

[Thulsadoom]

Müsste eigentlich ziemlich sicher gehen.

Nur wärs ziemlich umständlich für jedes Skript die Variable einzutragen.

Vermutlich sollte man in dem Fall das $_POST-Array durchgehen und zusammenstöpseln.

also irgendwie so

foreach ($_POST as $var)
{
   $post_cracktrack .= $var;
}

Ich test das mal und informier dich dann 

EDIT: Ok, es scheint zu klappen. Ich werd jetzt erstmal eine Zeit lang auf meiner Seite testen ob es zu ungewünschten Komplikationen kommen kann, aber eigentlich sollten die gesuchten Begriffe in normalen Formularen nicht vorkommen.

In der ctracker.php steht jetzt einfach

$worm_cracktrack   = $_SERVER['QUERY_STRING'];
       
        foreach ($_POST as $var)
        {
            $worm_cracktrack .= $var;
        }

also um das foreach erweitert.

[Nordin]

sehr gut!! Super Erweiterung! Dank dir!

Gib mir bescheid wenn es sauber läuft ich werd es dann mal mit in dem Adminbereich friggeln das man es von da aus steuern kann.