GreyCrow

Wenn ihr euch noch ein v1.3 heruntergeladen habt, ja. Dort sind Konverterskripte mit bei. Allerdings bezweifle ich, dass es - schon aus lizenzrechtlichen Gründen - ein Fremdskript gibt, dass alle Änderungen von 1.1 auf 1.2/1.3 enthält und erledigt, es sei denn, es kommt von Invision selbst. Ansonsten würde evtl. der Weg auf 2.0 bestehen, der dürfte dann allerdings kostenpflichtig werden...

Diese Antwort hilft Bittorrent-Unwissenden (wie bspw. auch meiner Wenigkeit) nicht viel weiter, denn ich bspw. sehe immer noch keinen Zusammenhang zwischen Tracker und Forum, geschweige denn ich nun verstanden hätte, was ein Tracker tut *ebenfalls ein fragendes Gesicht aufsetzt* Grey

*dreht sich zu Frog um und schaut ihn fragend an* Ist die connect() Funktion im Plus auch schon entsprechend bearbeitet? *zu Stefan zurückdreht* Danke für den wertvollen Hinweis, die connect() Funktion hatte mir auch schon Kopfschmerzen gemacht. Manchmal liegt des Bretsels Lösung wirklich direkt vor uns... Wäre eigentlich fast noch eine Idee für einen kleinen MiniMod (über AdminPanel eigener Text mittels Textbox festlegbar?) *nachdenklich schaut*

Leider kommt solch übel hin und wieder vor, schön, dass ihr aber das nicht gleich auf die ganze Mannschaft bezieht. Grey

Ja, ich würde sagen, das sieht nach einem gültigen RSS 0.92 Feed aus. Grey

Ein Versuch aus einer anderen Richtung: Warum kein Link direkt oben in die Menüleiste (vor dem Link zu den Forenregeln)? Würde das nicht eher erkannt und akzeptiert werden? Grey

Was ich hier vielleicht noch ganz kurz ergänzen würde: Während man somit eine schöne Arbeitskopie zum Bearbeiten bekommt, ergibt sich leicht das Problem, dass man an dem neuen Skin arbeitet und es irgendwann zerschießt. Das kann recht einfach geschehen, hat man aber zur besseren Ansicht sein eigenes Standard-Skin auf dieses gesetzt ist man im schlechtesten Fall aufgeschmissen und darf manuell im ACP das Skin für seinen User wieder zurücksetzen. Nutzt man aber die Vorschaufunktion für Skins im User Kontrollzentrum, so wird ein Parameter an die normale Foren-URL angehängt (meist &skinid=x wobei x=1,2,3...). Dies kann auch manuell geschehen. Sprich: Um bspw. die Forenhauptseite im neuen Gewand zu betrachten, ohne sein eigenes Skin zu verändern hänge man schlicht ein "?skinid=1 (oder 2,3,...)" an die normale URL "http://www.domain.de/forum/index.php" an. Dies funktioniert auch beim Board-eigenen Portal Dynamic Lite. Grüße Grey

Das scheint mir das neue Array Layout zu sein. Dann solltet ihr umarbeiten in Grüßend, Grey

Ähem *räusper* das war kein Workaround meinerseits, sondern die damalige Antwort auf das Posting bei Bugtraq. Die Zeilen stehen bereits im Code der ssi.php. (Zeile 172). Der Grund der Aussage ist lediglich, dass hier niemals ein String übergeben werden kann, weil jener vorher den intval-Befehl überleben müsste. Die evtl. mögliche Injection mit $sql_fields ist daher kaum möglich, da die Zuweisung $sql_fields = implode( ",", $forums ); dann keinen String enthalten würde. Hoffe das war als Erläuterung etwas erhellend, warum ich das Zitat an mein Posting angefügt habe.

Lokal ja, eben aus dem Testszenario heraus (immer den schlimmsten Fall annehmen ). Und es hängt natürlich dann auch noch von der verwendeten Datenbank, den Befehlen (mysql_query nutzt nur ein query pro Befehl eben darum) oder API ab. Natürlich habt ihr recht mit der Kernaussage. Nur gilt das nicht unbedingt für alle Konstellationen Lieber auf der sicheren Seite :)

Wie gesagt, je nach Konfiguration ist es bspw. möglich einen Query mit einem Semikolon oder andern Trennzeichen abzubrechen und den Rest des Queries, der im Code noch stehen würde mit einem (wiederum bspw.) -- abzutrennen. Funktioniert nicht in jeder Konstellation, aber ist durchaus möglich.

Das ist schon der Wahrheit entsprechend. Beim jüngsten SQL Injection jedoch wäre es tatsächlich möglich, wenn man das eigentliche Kommando abbrechen und ein weiteres mit Separator anschließen kann. Manche Versionen/Datenbanken unterstützen das. Und ein INSERT ist schnell angehängt. Insofern ist es nicht nur ein theoretisches, sondern ein recht reeles Problem. Und da es bspw. auch auf Listen wie Bugtraq gepostet wird auch eines, dass viele User adressiert. Grüße Grey

Zu dem ganzen hin und her möchte ich mich nicht weiter auslassen. Aber ich kann hier Lord Stefan sehr verstehen. Was ich mehr als befremdlich finde, sind solche Aussagen wie Sire howgo sie fallen lässt und die sich auf erstes Post beziehen. Noch vor einer Grundsatzdiskussion: Was bringen bitte Sicherheitsupdates, von denen niemand erfährt oder die nur einer kleiner Gruppe Auserwählter zugänglich ist? Wie ihr euch hier im letzten Beitrag (selbst) widersprecht: Nicht jeder ist mit Programmierkunst oder sonst etwas gesegnet, aber es gibt viele, die ein Forum sicher einsetzen möchten. Und da gehören auch User hinzu, die wie ich oder auch andere es nicht mögen, sich wegen jedem BugFix an x-verschiedenen Board anzumelden. Deswegen habe ich hier große Achtung vor diesem Board, bei dem man sich nicht anmelden und xy-Beiträge schreiben muss, bevor man den wichtigen Patch einspielen kann. "Wenn man gewillt ist". Sicher, wenn ein Security Flaw herauskommt bin ich mehr als gewillt, jenen einzuspielen. Aber dann möchte ich nicht bspw. 20 Beiträge mit Nonsense füllen oder mich irgendwo (mehr oder minder) umständlich anmelden müssen um mein Forum zu patchen. Im schlechtesten Falle ist es genau dann schon zu spät gewesen. Das entbehrt meines Erachtens jeglich sinnvoller Grundlage. Dass es in einer Community immer ein Geben und Nehmen geben sollte steht dabei dann auf einem anderen Blatt. Aber hier stehen sich Sicherheit und Komfort gegenüber. Irgendwelche blinden Seitenhiebe halte ich aber für mehr als kindisch und der Diskussion nicht angemessen. Zum allgemeinen Thema: Ich kann nur einen Bug im Zeitraum eines Jahrs finden, welcher sich auf SML Codes in der Signatur bezieht. Diesen habe ich getestet mit einer 1.3.1 Final und nicht nachvollziehen können. Alle anderen gemeldeten Fehler bezogen sich bisher auf 2.x. Der gemeldete Bug datiert meines Wissens vom 08.06.2004. Die Antwort darauf auf Bugtraq war folgende (bezogen auf SSI.PHP):

Exakt. Vor allem bei Bildern, die ohnehin zugreifbar sein sollen. Ich kann es bis zu einem Gewissen Grade nachvollziehen, dass gewisse hochgeladene Daten nicht über URLs zu erreichen sein sollen. Aber gerade die Probleme mit Backup und Restore sind gravierend. Wer einmal ein gefülltes vB mit mehreren Dutzend Megabytes als Dump versuchte wieder einzuspielen, wird wissen, auf was ich anspiele. ;)

Dieser Link zum Thema ist sicherlich einen Blick wert: http://www.php-faq.de/q/q-db-blob.html

Kann ich so bestätigen. Da gab es gestern mittag einen ziemlichen Durchhänger, ca. 30min-1h. Danach war es wieder angenehm.

Da wage ich zu widersprechen. Den Output des Aufrufs von SSI lässt sich mittels der SSI Templates anpassen. Ob das nun RSS, ATOM, HTML oder etwas anderes sein sollte, es lässt sich anpassen. Und von der Beschreibung des Programmes ("...zeigt die letzten 5 Forenthemen...") hört sich das für mich stark nach RSS News an. Wie diese dann aussehen, sei einmal dahingestellt, das übernimmt ja dafür der verwendete RSS Reader.

Ich habe das Skript kurz überflogen. Da hier viele Sachen hardgecodet sind - vor allem was Datenbank Aufrufe angeht - wird das wahrscheinlich schwierig, "einfach nur" zu ändern, was man in Invision dafür haben möchte. Da die Tabellenstruktur auch abweicht lassen sich die Daten nicht in der Form abgreifen. Aber vom verwendeten Prinzip gleicht dies doch einem RSS/Atom Newsfeed? Und diesen kann man ja mit bspw. http://www.ipbsupport.de/board/ssi.php?a=o...show=5&type=rss erhalten. Dann müsste man auch nicht das selbergeschriebene kleine Clientprogramm nutzen, sondern der Nutzer kann aus einer Fülle an Newsreadern seinen Favoriten wählen. Grüße Grey

Ich denke euer Problem wird über die Funktion "Force guests to log in before allowing access to the board?" in der Sektion "Security" gelöst, sofern ich euer Anliegen richtig gedeutet habe Grüße Grey

Sollte es noch funktionieren gibt es im Admin-Panel eine Option, um die Serverdaten wie bspw. PHP Infos anzuzeigen (System-Settings/Server Environment). Sollte dies nicht möglich sein, erstellt eine Datei test.php und ladet diese per FTP in das Forenverzeichnis. Inhalt: <?php phpinfo(); ?> Diese Datei dann im Browser aufrufen und nach der Überschrift "PHP Variables" suchen, dort sollte zumindest der vollständige Pfad dann erscheinen. Grey

Wäre es möglich erst den Mod an sich zu posten, damit wir (ich) eine reele Chance hat, die Frage zu beantworten? Leider habe ich nicht wie unser Meister des Coding Lord Stefan alle Mods im Kopf parat (kann aber noch werden ) Korrektur: ich scheine nicht allein mit dieser Wissenslücke zu sein Grüßend, Grey

Im Anhang eine PHP GZip Klasse, mit denen ihr ein wenig herumexperimentieren könnt. Sie gibt als HTML Kommentar in den Quelltext die Kompressionsrate aus. Eingebunden wird sie, indem man zu Beginn in seiner PHP Datei das Puffern mit ob_start(); aktiviert und zum Ende dann ein include("inc/class_spGzip.inc.php"); folgen lässt. Dann wird sämtlicher Inhalt seit Beginn der Pufferung komprimiert an den Client (Browser) gesendet. Die Ergebnisse werden am Ende des HTML Outputs als Kommentar angezeigt. Grüße Grey

Grüße Sire STONe, die von euch skizzierte Tabelle lässt sich nicht ohne Probleme in HTML abbilden. Problematisch wird es vor allem deswegen, weil man für die zweite Zeile bspw. mit einem rowspan arbeiten müsste, was aber mitunter den berühmt berüchtigten IE zum Verzweifeln bringt. Im Prinzip machbar, jedoch komplex, es wäre eher zu überlegen, ob man das Layout nicht vereinfachen kann. Grüße Grey

Dann wäre es vielleicht noch nett, wenn die Frage als beantwortet gekennzeichnet wird (Button rechts unten neben Umfrage )

Immer gern *verneig*