Kan dit?

[emrulez]

kan ik hetzelfde doen met PhpBB3 als hier
viewtopic.php?f=45&t=36833&hilit=

[Coen]

kan ik hetzelfde doen met PhpBB3 als hier
viewtopic.php?f=45&t=36833&hilit=

Ja, dat kan waarschijnlijk wel, maar helaas zal het in phpBB3 met iets andere code zijn, als het niet standaard al werkt, zoals het moet werken...

Helaas weet ik zo niet of er al een fix voor is geschreven...

[ElbertF]

Wat bedoel je precies?

[emrulez]

Bij Phpbb2 had ik een probleem zie de link voor de topic mijn vraag is of ik dezelfde fix kan gebruiken voor phpbb3?

[Coen]

Bij Phpbb2 had ik een probleem zie de link voor de topic mijn vraag is of ik dezelfde fix kan gebruiken voor phpbb3?

Lees mijn reactie eens!

[emrulez]

ik snap dit niet

]als het niet standaard al werkt, zoals het moet werken...

Bedoel je dat er al iets ingebouwd is tegen proxies?

[Coen]

Bedoel je dat er al iets ingebouw is tegen proxies?

Nee, dat zeg ik niet. Ik zeg dat ik het niet weet. Maar de fix die je gebruikte voor phpBB 2.x zal niet werken voor phpBB 3.x, dus je moet even wachten tot er een fix voor geschreven word of er zelf een schrijven!

[Bas]

Even aangepast voor phpBB3

Open: includes/session.php
Zoek:

Code: Selecteer alles

$this->ip = (!empty($_SERVER['REMOTE_ADDR'])) ? htmlspecialchars($_SERVER['REMOTE_ADDR']) : '';

Vervang met:

Code: Selecteer alles

if ($_SERVER['REMOTE_ADDR'] == '192.168.13.41') {
   if (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && !empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
      $this->ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
   } else {
      $this->ip = $_SERVER['REMOTE_ADDR'];
   }
} else {
   $this->ip = $_SERVER['REMOTE_ADDR'];
}

[Paul]

Pas nu wel op, want er zit nu header injection in, wat in principe betekent dat ik gevaarlijke dingen kan doen emt $user->ip. Je moet ff door htmlspecialchars halen nog.

[emrulez]

Dankje het werkt

[emrulez]

Pas nu wel op, want er zit nu header injection in, wat in principe betekent dat ik gevaarlijke dingen kan doen emt $user->ip. Je moet ff door htmlspecialchars halen nog.

IK?

[Coen]

IK?

Degene die het scriptje gaan gebruiken, jij dus ook ja.

[Bas]

Pas nu wel op, want er zit nu header injection in, wat in principe betekent dat ik gevaarlijke dingen kan doen emt $user->ip. Je moet ff door htmlspecialchars halen nog.

IK?

Voor wat er nu gebruikt wordt maakt die quote van Paul niet veel uit, aangezien ve41 niet zomaar een nep-IP doorgeeft.

[emrulez]

Pas nu wel op, want er zit nu header injection in, wat in principe betekent dat ik gevaarlijke dingen kan doen emt $user->ip. Je moet ff door htmlspecialchars halen nog.

IK?

Voor wat er nu gebruikt wordt maakt die quote van Paul niet veel uit, aangezien ve41 niet zomaar een nep-IP doorgeeft.

Is het nou veilig?

[Coen]

Is het nou veilig?

Als je nou even dit opvolgt;

Je moet ff door htmlspecialchars halen nog.

dan zit je helemaal veilig.

[emrulez]

Is het nou veilig?

Als je nou even dit opvolgt;

Je moet ff door htmlspecialchars halen nog.

dan zit je helemaal veilig.

En dat zijn? htmlspecialchars

[Coen]

En dat zijn? htmlspecialchars

http://nl3.php.net/htmlspecialchars

[ElbertF]

Leg het die jongen even uit, zo lukt het hem natuurlijk niet.

[Coen]

Leg het die jongen even uit, zo lukt het hem natuurlijk niet.

Okay, zal het stukje code even aanpassen:

Code: Selecteer alles

if ($_SERVER['REMOTE_ADDR'] == '192.168.13.41') {
   if (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && !empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
      $this->ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
   } else {
      $this->ip = htmlspecialchars($_SERVER['REMOTE_ADDR']);
   }
} else {
   $this->ip = htmlspecialchars($_SERVER['REMOTE_ADDR']);
}

Nu weet ik alleen niet zeker of het ook op $_SERVER['HTTP_X_FORWARDED_FOR'] moet... Anyone?

Even wat uitleggen, htmlspecialchars is dus een functie. Ik gebruik deze functie op enkele variabelen om deze 'veilig' te maken, van html etc...

[ElbertF]

Ik geloof niet dat die var ergens wordt opgeslagen, dus dan hoeft het niet.