MyBB.de Forum
Sicherheitsproblem Template - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Archiv (https://www.mybb.de/forum/forum-57.html)
+--- Forum: MyBB 1.6.x (https://www.mybb.de/forum/forum-58.html)
+---- Forum: Allgemeiner Support (https://www.mybb.de/forum/forum-59.html)
+---- Thema: Sicherheitsproblem Template (/thread-23839.html)

Seiten: Seiten: 1 2


Sicherheitsproblem Template - sonic1978 - 30.09.2011

habe hier schon die suche genutzt aber nichts gefunden was mir helfen könnte.

und zwar wenn ich zwei templates bei mir bearbeite und dann speichern will kommt folgende meldung

Folgende Fehler sind aufgetreten:

Es wurde ein mögliches Sicherheitsproblem im Template gefunden. Bitte prüfe deine Eingabe oder wende dich an den MyBB-Support.


wie kann ich das beheben? vielen dank im vorraus für eure hilfe.


RE: Sicherheitsproblem Template - Jockl - 30.09.2011

Hängt vielleicht mit folgendem Hinweis zusammen:
Zitat:Deshalb wurden verschiedene Variablen in den Templates gesperrt. Beim Versuch diese in ein Template einzufügen oder ein Theme mit potenziell gefährlichem Inhalt zu importieren erscheint nun eine Fehlermeldung. Informationen für Theme-Ersteller und Plugin-Autoren finden sich im englischen Wiki: http://wiki.mybb.com/index.php/1.6.4
siehe: https://www.mybb.de/forum/thread-18641.html


RE: Sicherheitsproblem Template - GreenDragon - 12.08.2012

Ich reg mich gerade gewaltig über diese "ach so tolle" Funktion auf. Wenn ich ein Template hinzufüge kommt keine Fehlermeldung, aber wenn ich es bearbeite, dann kommt: "Es wurde ein mögliches Sicherheitsproblem im Template gefunden. Bitte prüfe deine Eingabe oder wende dich an den MyBB-Support."

Und das liegt an folgenden Zeilen in einem Dropdown-Menue, wo man Xthreads-Präfixe sortieren kann. Immer wenn ein Bindestrich oder ein Slash oder ein Umlaut drin ist kommt diese idiotische Fehlermeldung.

<option value="Komödie"{$GLOBALS['filters_set']['pref_video']['selected']['Komödie']}>Komödie</option>
<option value="Sci-Fi"{$GLOBALS['filters_set']['pref_video']['selected']['Sci-Fi']}>Sci-Fi</option>
<option value="DVD5/9"{$GLOBALS['filters_set']['pref_qual']['selected']['DVD5/9']}>DVD5/9</option>

An den oben aufgeführten Zeilen kann ich rein gar nichts ändern. Die müssen so bleiben. Also würde ich jetzt gerne wissen, wie ich diesen blöden Sicherheitscheck rauskriege. Sry, aber aktuell bin ich auf 1000, dass so was als Fehler angezeigt wird.


RE: Sicherheitsproblem Template - Jockl - 12.08.2012

(12.08.2012, 10:43)GreenDragon schrieb: Immer wenn ein Bindestrich oder ein Slash oder ein Umlaut drin ist kommt diese idiotische Fehlermeldung.

Wenn es denn wirklich daran liegen sollte, dann probiere doch mal ohne diese Sonderzeichen auszukommen:
Code:
<option value="Komoedie"{$GLOBALS['filters_set']['pref_video']['selected']['Komoedie']}>Komödie</option>
<option value="SciFi"{$GLOBALS['filters_set']['pref_video']['selected']['SciFi']}>Sci-Fi</option>
<option value="DVD59"{$GLOBALS['filters_set']['pref_qual']['selected']['DVD59']}>DVD5/9</option>

Ich vermute ja eher, dass es an der Verwendung von $GLOBALS liegt....
(http://dev.mybb.com/issues/1508)


RE: Sicherheitsproblem Template - GreenDragon - 12.08.2012

(12.08.2012, 12:26)Jockl schrieb: Ich vermute ja eher, dass es an der Verwendung von $GLOBALS liegt....

Daran kann es theoretisch weniger liegen, denn die selben Zeilen, wo weder Umlaute noch Striche drin sind, die funktionieren beim abspeichern. Ich habe es jetzt erst mal so gemacht, dass ich das endgültige fertige Template neu gespeichert habe, denn beim ersten speichern kommt ja keine Fehlermeldung. Ich kann es eben nur nicht mehr bearbeiten, was aber im Normalfall nicht mehr nötig ist. Ist halt nur stressig, wenn man das alles zum ersten mal erstellt, so dass ich heute zig mal das Template löschen musste und neu abspeichern musste, um die Fehlermeldung zu umgehen. Hier das fertige Template:

http://paste2.org/p/2108094

Es geht wirklich nur dann nicht, wenn Striche oder Umlaute mit drin sind. Alles andere lässt sich normal speichern und auch anschliessend bearbeiten.

Mach doch mal bitte folgendes:
Erstell ein neues globales Template, füge die besagten 3 Zeilen aus meinem obersten Beitrag ein, speicher das Template und versuche es danach nochmal zu speichern. Dann wirst Du sehen was kommt. Wink


RE: Sicherheitsproblem Template - Jockl - 12.08.2012

(12.08.2012, 12:53)GreenDragon schrieb: Mach doch mal bitte folgendes:
Erstell ein neues globales Template, füge die besagten 3 Zeilen aus meinem obersten Beitrag ein, speicher das Template und versuche es danach nochmal zu speichern. Dann wirst Du sehen was kommt. Wink
Ich glaube es Dir ja. Wink
Aber sieh Dir mal den Link an
(12.08.2012, 12:26)Jockl schrieb: (http://dev.mybb.com/issues/1508 )
Stefan hat hier bereits auf das Problem reagiert.

Das Problem ist eher, dass die Fehlermeldung eigentlich schon beim Erstellen eines neues Templates erscheinen sollte. Wink


RE: Sicherheitsproblem Template - GreenDragon - 12.08.2012

Jo, das ist mir auch bewusst, denn was bringt der Check, wenn Er bei Erstellung oder Import nicht reagiert. Aber jetzt nochmal zum eigentlichen Thema: Warum kommt die Meldung überhaupt, wegen einem Umlaut oder Slach oder Bindestrich? Wenn Du bei den genannten Zeilen diese Dinge entfernst, dann geht es ja. Denn ich kann die Präfixe im Nachhinein nicht mehr ändern. Die müssen genauso bleiben, da sonst alle bisher erstellten Präfixe nicht mehr angezeigt werden. Also grösseres Problem, wenn das nicht gefixt wird, und in diesem Fall scheint es mir extrem übertrieben und ohne erkennbaren Grund, dass das Template abgelehnt wird. Oder meinste nicht? Und nochmals die Frage: Wie kann ich diesen Check abschalten? Muss doch auch irgendwie möglich sein. Zumindest kurzfristig, bis man seine Templates (die ja sicher sind) erstellt hat. Wink


RE: Sicherheitsproblem Template - StefanT - 12.08.2012

(12.08.2012, 13:09)GreenDragon schrieb: Also grösseres Problem, wenn das nicht gefixt wird, und in diesem Fall scheint es mir extrem übertrieben und ohne erkennbaren Grund, dass das Template abgelehnt wird.
Siehe: http://dev.mybb.com/issues/1843#note-6
Leider kommt hier die teilweise schlechte Unicode-Unterstützung von PHP ins Spiel.


RE: Sicherheitsproblem Template - GreenDragon - 12.08.2012

Ganz schön verworren alles Big Grin

Aber weiss denn jemand wie ich diesen Check abstellen kann? Zur Zeit kann ich mir ja mit der (zum Glück fehlerhfaten) Funktion helfen, dass ich das Template wenigstens abspeichern kann. Nur was ist, wenn ein Update kommt, das dann auch nicht mehr geht, und ich gar nichts mehr in dieser Art neu anlegen kann? Dann wird´s eng! Denn normale Zeichen oder ein Umlaut kommen oft vor, und keine Ahnung wo das dann noch hinführen soll. Also, irgendwer ´ne Ahnung wie ich das (Zumindest übergangsweise wenn ich ein neues Template erstelle) abstellen kann?


RE: Sicherheitsproblem Template - Jockl - 12.08.2012

Ich vermute mal, dass es nicht so einfach abzustellen ist. Sad

Auf der anderen Seite ist das immer so eine Sache, Umlaute und Sonderzeichen in PHP zu verwenden. Insofern würde sich die Überlegung meiner Meinung nach schon rentieren, die vorhandenen Präfixe umzubenennen. Das würde sich vermutlich auch mit einem MySQL-Befehl direkt über die Datenbank erledigen lassen.