[gelöst]Phpbb3 Forum
Eingetragen von dontgotanick (156)am 27.04.2010 - 09:37 Uhr in
Hi,
in drupal 5 hat mein kollege eine Node erstellt folgenden Inhalt hinzugefügt
<?php
$page= "/forum/";
if(isset($_GET['page'])) {
$param = urldecode($_GET['page']);
if((strpos($param, "/forum/") === 0 || strpos($param, "/forum/") === 0 ||
strpos($param, "forum/") === 0 || strpos($param, "forum/") === 0) && strpos($param, "@") === false ) {
$page = $param;
}
}
<script src="/phpbbframe.js" type="text/javascript">
</script>
<iframe src="<?php echo $page ?>" id="forumFrame" border="0" frameborder="0" height="2000" width="100%"></iframe>
?>Das komische ist wenn ich den selben Code nun in Drupal 6 verwende kommt immer die MEldung page not found.
Wenn ich aber für die gesagt node/1 einen alias verwende. DAnn geht es wer ne Idee.
LG
dave
- Anmelden oder Registrieren um Kommentare zu schreiben
Hack
am 27.04.2010 - 10:12 Uhr
Hi
bitte schaut euch noch einmal die API an. Drupal bietet eine Menge Funktionen, damit diese Aufgabe leichter und zielgerichteter zu erreichen ist.
ZB. http://api.drupal.org/api/function/arg/6 liefert teile der URL. Mit http://api.drupal.org/api/function/drupal_match_path/6 kann man leicht den Pfad überprüfen.
Und eigentlich am wichtigsten:
http://drupal.org/coding-standards
So kann ich nicht erkennen, was das Script genau macht und es ist einfach irgendein Hack.
Viele Grüße,
Kars-T
Hi
am 27.04.2010 - 10:20 Uhr
mir geht ja auhc nicht anders da das Script nicht von mir ist.
Aber ich lese mich mal rein.
LG
Dave
Erstmal ein wenig aufräumen
am 27.04.2010 - 10:26 Uhr
Hallo Dave,
das ist die Rache, wenn man
;-). Spaß beiseite: Als erstes würde ich das "if" ausmisten.
if ((strpos($param, "/forum/") === 0 || strpos($param, "forum/") === 0) && strpos($param, "@") === false) {Und statt $_GET würde ich arg() verwenden.
Dass das Übernehmen von URLs aus dem $_GET Parameter Cross Site Scripting Attacken ermöglicht, ist Dir vermutlich bewusst, oder?
haha
am 27.04.2010 - 11:14 Uhr
Hi,
ja ich hab da nicht die netscheidungs macht :)
Danke für den Tipp nur wenn ich ehrlich bin bringt mich das ncith weiter oder es funktioniert einfahc nicht.
Eigentlich sollte ich doch den Inhalt wie folgt bekommen oder?
<?php
arg("./forum/");
?>
oder habe ich da was falshc verstanden?
LG
dave
arg()
am 27.04.2010 - 11:24 Uhr
Ja, da hast Du etwas falsch verstanden. Schau Dir mal das Beispiel zu arg() an.
Hi
am 27.04.2010 - 11:47 Uhr
so funktioniert es:
<iframe src="<?php echo arg(1,"./forum/"); ?>" id="forumFrame" border="0" frameborder="0" height="2000" width="100%" scrolling="no"></iframe>Aber nur mit aktiviertem url alias, warum nicht ohne das?
LG
dave
hatte es falsch
am 28.04.2010 - 11:30 Uhr
installiert deshalb diese probleme.
LG
dave
hatte das patch nicht angewendet auf den phpbb3 ordner