Clik here to view.
Von: Markus Handschuh
Hi Michael, ich hätte ne’ kleine Ergänzung zu deinem Code: Die FileWatcher.config.php macht ein $config = array(); Besser wäre: return array(/* config */); Und in deiner readConfig ein $config =...
View ArticleClik here to view.
Von: Michael Kliewe
@Markus: Wußte garnicht dass das funktioniert mit dem include und dem return, hab ich so noch nie verwendet. Was ist daran gefährlich? Es sind keine User-Eingaben (GET, POST etc) involviert, alles was...
View ArticleClik here to view.
Von: Christoph
@Markus und Michael: Kann ich auch noch nicht, finde ich aber für configs ziemlich praktisch!
View ArticleVon: Ralf
Was ist daran gefährlich? Es sind keine User-Eingaben (GET, POST etc) involviert, filewatcher.php?password=boeseszeugs Und schon sind “User-Inputs” involviert. Wenn GET und/oder POST-Daten übergeben...
View ArticleVon: Oliver
filewatcher.php?password=boeseszeugs Und schon sind “User-Inputs” involviert. Ähm, nö!
View ArticleVon: Michael Kliewe
@Ralf: Es ging gerade um das Laden der config Datei. Markus hat angemerkt dass die $config Variable in der readConfig Methode einfach so übernommen wird. Die Frage war warum das gefährlich ist, wenn...
View ArticleVon: Ralf
@Michael: Markus ging es um die Zeile "include $configFilename": <i>$fileWatcher->readConfig('FileWatcher.config.php')</i> Da ist also doch eine Benutzer-Eingabe vorhanden die blind...
View ArticleVon: Oliver
<blockquote>include $configFilename Da ist also doch eine Benutzer-Eingabe vorhanden die blind übernommen wird.</blockquote> Nein, lies nochmal! <blockquote>Aber kannst du auch sicher...
View ArticleVon: Michael Kliewe
@Ralf: <blockquote>$fileWatcher->readConfig(‘FileWatcher.config.php’) Da ist also doch eine Benutzer-Eingabe vorhanden die blind übernommen wird.</blockquote> Wenn du von Benutzer redest...
View ArticleClik here to view.
Von: Christoph
Ich möchte nur kurz etwas einwerfen: > Die $_GET Variablen sind IMMER Strings, ein Cast nach > String bringt da absolut gar nichts. Es können auch Arrays sein. Ansonsten bin ich voll bei euch,...
View ArticleVon: Ralf
Es ist eine Klasse die andere in ihre Scripte einbauen können? Gut. Jemand schreibt ein Plugin/Erweiterung für eine OpenSourceSoftware. Und dann steht dort plötzlich solche eine Zeile im Script:...
View ArticleClik here to view.
Von: Michael Kliewe
@Ralf: OK, einigen wir uns darauf dass man natürlich mehr machen könnte, aber nicht muss. Um aber für Erweiterungen anderer, die eventuell etwas vergessen oder übersehen könnten, eine sichere Grundlage...
View ArticleVon: Florian Heinze
Persönlich fände ich es dann ja am elegantesten das Laden der Konfiguration aus der Klasse rauszuhalten: Aus ->readConfig() wird dann: ->setConfig(include(‘file.php’)) // da drin dann mit return...
View ArticleVon: Oliver
@Ralf: In WordPress wird mittlerweile jeder Pups validiert. Warum wohl? Weil alle Plugin- und Theme-Entwickler so vertrauenswürdig sind?? WordPress sorgt dafür, dass die Entwicklung von Plugins und...
View ArticleClik here to view.
Von: Christoph
Sehe ich genauso. Bei so einem kleinen Tool, bei welchem man die Config eh nicht für etwas anderes braucht, lohnt sich kein anderes übergreifendes Format wie XML. Mittlerweile versuche ich alles...
View ArticleClik here to view.
Von: Florian Heinze
@Christoph Stimme Dir zu. Auch mein Motto ist “Back to the Roots”! Was man weg lassen kann, weg lassen. Daher ja auch mein Vorschlag. Denn der Großteil würde so ein Script im Ende wohl so verwenden das...
View ArticleVon: Markus Bachmann
Wie wäre es den wenn Filewatcher, verschiedene Config typen (yaml|xml|ini|php) unterstützt? Wäre doch genial, oder? Natürlich sollte der Entwickler, der das Skript benutzt, die Config - Datei via...
View ArticleVon: Chris
Die Variante über FTP klingt ganz gut, allerdings hab ich teilweise kein FTP oder WebDav oÄ zur Verfügung. Daher meine Frage: Angenommen man lagert auf dem Webspace ein Script, dass einen Hash der zu...
View ArticleVon: Oliver
@Chris Ja, hast Du. Du musst ja dann ein Verfahren vorschreiben, dass ein Angreifer ggf. auch kopieren kann. Dieses Verfahren muss ja irgendwo hinterlegt sein. Du kannst auch das ganze Verfahren...
View ArticleVon: Marc Gutt
Die Idee ist gut. Angst vor nachträglicher Modifikation ist denke ich nicht angebracht. Zumindest nicht, wenn man nicht mit den Original-Dateinamen arbeitet. Es reicht ja auch, wenn man die Klasse...
View Article
