phpBB.nl

Nederlandstalige phpBB Support
https://www.phpbb.nl/forums/

Kan dit?

https://www.phpbb.nl/forums/viewtopic.php?f=40&t=37518

Pagina 1 van 2

Kan dit?

Geplaatst: 21 mei 2007, 13:18
door emrulez
kan ik hetzelfde doen met PhpBB3 als hier
viewtopic.php?f=45&t=36833&hilit=

Re: Kan dit?

Geplaatst: 21 mei 2007, 13:19
door Coen
emrulez schreef:kan ik hetzelfde doen met PhpBB3 als hier
viewtopic.php?f=45&t=36833&hilit=
Ja, dat kan waarschijnlijk wel, maar helaas zal het in phpBB3 met iets andere code zijn, als het niet standaard al werkt, zoals het moet werken... :roll:

Helaas weet ik zo niet of er al een fix voor is geschreven...

Re: Kan dit?

Geplaatst: 21 mei 2007, 13:20
door ElbertF
Wat bedoel je precies?

Re: Kan dit?

Geplaatst: 21 mei 2007, 13:21
door emrulez
Bij Phpbb2 had ik een probleem zie de link voor de topic mijn vraag is of ik dezelfde fix kan gebruiken voor phpbb3?

Re: Kan dit?

Geplaatst: 21 mei 2007, 13:22
door Coen
emrulez schreef:Bij Phpbb2 had ik een probleem zie de link voor de topic mijn vraag is of ik dezelfde fix kan gebruiken voor phpbb3?
Lees mijn reactie eens! ;)

Re: Kan dit?

Geplaatst: 21 mei 2007, 13:32
door emrulez
ik snap dit niet
Zero Override schreef:]als het niet standaard al werkt, zoals het moet werken...
Bedoel je dat er al iets ingebouwd is tegen proxies?

Re: Kan dit?

Geplaatst: 21 mei 2007, 13:34
door Coen
emrulez schreef:Bedoel je dat er al iets ingebouw is tegen proxies?
Nee, dat zeg ik niet. Ik zeg dat ik het niet weet. Maar de fix die je gebruikte voor phpBB 2.x zal niet werken voor phpBB 3.x, dus je moet even wachten tot er een fix voor geschreven word of er zelf een schrijven! :)

Re: Kan dit?

Geplaatst: 21 mei 2007, 13:49
door Bas
Even aangepast voor phpBB3 :)

Open: includes/session.php
Zoek:

Code: Selecteer alles

$this->ip = (!empty($_SERVER['REMOTE_ADDR'])) ? htmlspecialchars($_SERVER['REMOTE_ADDR']) : '';
Vervang met:

Code: Selecteer alles

if ($_SERVER['REMOTE_ADDR'] == '192.168.13.41') {
   if (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && !empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
      $this->ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
   } else {
      $this->ip = $_SERVER['REMOTE_ADDR'];
   }
} else {
   $this->ip = $_SERVER['REMOTE_ADDR'];
}
:)

Re: Kan dit?

Geplaatst: 21 mei 2007, 13:53
door Paul
Pas nu wel op, want er zit nu header injection in, wat in principe betekent dat ik gevaarlijke dingen kan doen emt $user->ip. Je moet ff door htmlspecialchars halen nog.

Re: Kan dit?

Geplaatst: 21 mei 2007, 13:59
door emrulez
Dankje het werkt :D

Re: Kan dit?

Geplaatst: 21 mei 2007, 14:02
door emrulez
paul schreef:Pas nu wel op, want er zit nu header injection in, wat in principe betekent dat ik gevaarlijke dingen kan doen emt $user->ip. Je moet ff door htmlspecialchars halen nog.
IK?

Re: Kan dit?

Geplaatst: 21 mei 2007, 14:03
door Coen
emrulez schreef:IK?
Degene die het scriptje gaan gebruiken, jij dus ook ja.

Re: Kan dit?

Geplaatst: 21 mei 2007, 14:04
door Bas
emrulez schreef:
paul schreef:Pas nu wel op, want er zit nu header injection in, wat in principe betekent dat ik gevaarlijke dingen kan doen emt $user->ip. Je moet ff door htmlspecialchars halen nog.
IK?
Voor wat er nu gebruikt wordt maakt die quote van Paul niet veel uit, aangezien ve41 niet zomaar een nep-IP doorgeeft. :)

Re: Kan dit?

Geplaatst: 21 mei 2007, 14:11
door emrulez
Bas schreef:
emrulez schreef:
paul schreef:Pas nu wel op, want er zit nu header injection in, wat in principe betekent dat ik gevaarlijke dingen kan doen emt $user->ip. Je moet ff door htmlspecialchars halen nog.
IK?
Voor wat er nu gebruikt wordt maakt die quote van Paul niet veel uit, aangezien ve41 niet zomaar een nep-IP doorgeeft. :)
Is het nou veilig?

Re: Kan dit?

Geplaatst: 21 mei 2007, 14:14
door Coen
emrulez schreef:Is het nou veilig?
Als je nou even dit opvolgt;
paul schreef:Je moet ff door htmlspecialchars halen nog.
dan zit je helemaal veilig.

Re: Kan dit?

Geplaatst: 21 mei 2007, 14:21
door emrulez
Zero Override schreef:
emrulez schreef:Is het nou veilig?
Als je nou even dit opvolgt;
paul schreef:Je moet ff door htmlspecialchars halen nog.
dan zit je helemaal veilig.
En dat zijn? htmlspecialchars

Re: Kan dit?

Geplaatst: 21 mei 2007, 14:22
door Coen
emrulez schreef:En dat zijn? htmlspecialchars
:arrow: http://nl3.php.net/htmlspecialchars

Re: Kan dit?

Geplaatst: 21 mei 2007, 14:25
door ElbertF
Leg het die jongen even uit, zo lukt het hem natuurlijk niet.

Re: Kan dit?

Geplaatst: 21 mei 2007, 14:27
door Coen
ElbertF schreef:Leg het die jongen even uit, zo lukt het hem natuurlijk niet.
Okay, zal het stukje code even aanpassen:

Code: Selecteer alles

if ($_SERVER['REMOTE_ADDR'] == '192.168.13.41') {
   if (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && !empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
      $this->ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
   } else {
      $this->ip = htmlspecialchars($_SERVER['REMOTE_ADDR']);
   }
} else {
   $this->ip = htmlspecialchars($_SERVER['REMOTE_ADDR']);
}
Nu weet ik alleen niet zeker of het ook op $_SERVER['HTTP_X_FORWARDED_FOR'] moet... :roll: Anyone?

Even wat uitleggen, htmlspecialchars is dus een functie. Ik gebruik deze functie op enkele variabelen om deze 'veilig' te maken, van html etc...

Re: Kan dit?

Geplaatst: 21 mei 2007, 14:29
door ElbertF
Ik geloof niet dat die var ergens wordt opgeslagen, dus dan hoeft het niet.
Alle tijden zijn UTC+01:00
Pagina 1 van 2
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/