NetVision-Technik - suche Progi zum Testen der Tracker-Sicherheit

NetVision-Technik (http://www.netvision-technik.de/forum/index.php)

- Security (http://www.netvision-technik.de/forum/forumdisplay.php?f=32)

- - suche Progi zum Testen der Tracker-Sicherheit (http://www.netvision-technik.de/forum/showthread.php?t=4406)

nach was muss den dann suchen ?????

PHP-Code:


		
			
<?
/*
// +--------------------------------------------------------------------------+
// | Project:    NVTracker - NetVision BitTorrent Tracker                     |
// +--------------------------------------------------------------------------+
// | This file is part of NVTracker. NVTracker is based on BTSource,          |
// | originally by RedBeard of TorrentBits, extensively modified by           |
// | Gartenzwerg.                                                             |
// |                                                                          |
// | NVTracker is free software; you can redistribute it and/or modify        |
// | it under the terms of the GNU General Public License as published by     |
// | the Free Software Foundation; either version 2 of the License, or        |
// | (at your option) any later version.                                      |
// |                                                                          |
// | NVTracker is distributed in the hope that it will be useful,             |
// | but WITHOUT ANY WARRANTY; without even the implied warranty of           |
// | MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the            |
// | GNU General Public License for more details.                             |
// |                                                                          |
// | You should have received a copy of the GNU General Public License        |
// | along with NVTracker; if not, write to the Free Software Foundation,     |
// | Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA            |
// +--------------------------------------------------------------------------+
// | Obige Zeilen dürfen nicht entfernt werden!    Do not remove above lines! |
// +--------------------------------------------------------------------------+
 */

require_once("include/bittorrent.php");

hit_start();

if (!mkglobal("username:password"))
    die("Hier ist was faul...");

dbconn();

hit_count();
failedloginscheck ();

function bark($text = "Benutzername oder Passwort ungültig")
{
  stderr("Login fehlgeschlagen!", $text);
}

session_start();

$res = mysql_query("SELECT * FROM users WHERE username = " . sqlesc($username) . " AND status = 'confirmed'");
$row = mysql_fetch_assoc($res);

if (!$row)
    failedlogins();

if ($row["passhash"] != md5($row["secret"] . $password . $row["secret"]))
    failedlogins();
if ($row["enabled"] == "no")
    bark("Dieser Account wurde deaktiviert.");

logincookie($row["id"], $row["passhash"]);

$ip = getip();

$_SESSION["userdata"] = $row;
$_SESSION["userdata"]["ip"] = $ip;

mysql_query("UPDATE users SET last_access='" . date("Y-m-d H:i:s") . "', ip='$ip' WHERE id=" . $row["id"]); // or die(mysql_error());
$url = $GLOBALS["DEFAULTBASEURL"] . "/index.php";
switch($row["go_after_login"])
{
  case 1 : $url = $GLOBALS["DEFAULTBASEURL"] . "/userdetails.php?id=" . $row["id"];
           break;
  case 2 : $url = $GLOBALS["DEFAULTBASEURL"] . "/user-controlpanel.php";
           break;
  case 3 : $url = $GLOBALS["DEFAULTBASEURL"] . "/mytorrents.php";
           break;
  case 4 : $url = $GLOBALS["DEFAULTBASEURL"] . "/browse.php";
           break;
  case 5 : $url = $GLOBALS["DEFAULTBASEURL"] . "/index.php";
           break;
}
if (!empty($_POST["returnto"]))
    header("Location: ".$BASEURL.$_POST["returnto"]);
else
    //    header("Location: $BASEURL/my.php?".SID);
    header("Location: ".$url);

hit_end();

?>

ups sorry war ne alte ferhlerhafte funktion aus ner älteren php bin hier gerade am hin und her switchen weil ich was überarbeite und ne alte funktion gesucht habe da bin hab ich mich wohl verklickt sorry, habs oben nochmal die aktuelle reingepackt sollte jetzt gehen

Firma sagt brav danke, funzt soweit jetzt

Ich würd ma gern was nachfragen bzw. mokieren.

PHP-Code:


		
			
function validate_var($val) 
{ 
  if(isset($val)) 
  {  
    if(is_numeric($val)) 
    { 
// Wenn es eine Zahl ist wozu dann noch absichern? 
//  Is doch so schon sicher (Zahl bleibt Zahl lol).
        if(is_float($val))    return floatval($val); 
        elseif(is_int($val))  return intval($val); 
        else                  return floatval($val); 
    } 
    elseif(is_bool($val)) 
    { 
// Wenn es ein boolscher wert ist braucht man den doch auch 
// nicht mehr extra definieren, Boolsche werte sind sicher...
        if($val == 1 || $val === true)      return true; 
        elseif($val == 0 || $val === false) return false; 
        else return 0; 
    } 
    elseif(is_string($val))  return htmlspecialchars($val); 
    elseif(is_null($val))    return null; 
    else  return $val; 
  } 
  else  return; 
}

In den ommentaren mokier ich mal... seh da keinen sinn drin ausser unnötigem Code...

du kannst es natürlich auch so machen

PHP-Code:


		
			
function validate_var($val) 

{ 

  if(isset($val)) 

  {  

    if(is_numeric($val))      return floatval($val); 

    elseif(is_bool($val))     return $val ; 

    elseif(is_string($val))   return htmlspecialchars($val); 

    elseif(is_null($val))     return null; 

    else                      return $val;

  } 

  else  return; 

}

ich würde aber nicht empfehlen dass direkt in der bt.php zu schmeißen

habs mal gemacht... das blöde ist in bereichen wo html code erlaubt ist (zb News) werden die html Befehle umgewandelt und werden nicht angezeigt..

von daher würde ich den aufruf der Funktion in den phps machen wo es auch auch gebraucht wird ;)

das ist doch ganz einfach da wo html angezeigt werden soll bzw erlaubt ist einfach den db string mit htmlspecialchars_decode($row['body']); ausgeben schon ist alles wieder richtig

bei mir funzt doch nicht so, einige user können mit ihrem passwort nicht mehr rein und bei mir und einigen spielen auf einmal torrents im clienten dull , verbinden nicht mehr error ungültiger info hash .....