Beiträge: 1.709
Themen: 177
Registriert seit: 08.02.2018
MyBB-Version: 1.8.37
Hallo Community,
Vorab:
Templates und Hilfeseiten sind bekantlich in HTML-Code defniert.
Funktion:
a) in den Templates kann ich mit <?php include ("./ordner/datei.php"); ?> bestimmte Aktionen/Anzeigen definieren. Dies funktioniert fehlerfrei.
b) in den Hilfeseiten funktioniert jedoch das Aufrufen des PHP-Codes nicht. Warum? es ist doch auch nur eine HTML-Datei!
Wo müsste ich was einpflegen/definieren damit auch auf den Hilfeseiten PHP-Code verwendet werden kann?
Sollte ich der Ansicht sein helfen zu können biete ich Hilfe(n) an! ...ich bitte jedoch nicht darum helfen zu dürfen!
Tools ◀ [
Unixzeit ⇔ Realzeit] ♦ [
BOM-Finder] ♦ [
SQL-Prefix-Changer] ♦ [
USV-Rechner] ♦ [
PlugIns]
Beiträge: 1.136
Themen: 39
Registriert seit: 27.08.2014
Hi,
in welchen Templates funktioniert der PHP Code denn? Beispielsweise?
Grüße
Beiträge: 1.709
Themen: 177
Registriert seit: 08.02.2018
MyBB-Version: 1.8.37
13.03.2019, 16:05
(Dieser Beitrag wurde zuletzt bearbeitet: 13.03.2019, 16:36 von Gerti.)
(13.03.2019, 15:54)itsmeJAY schrieb: In welchen Templates funktioniert der PHP Code denn? Beispielsweise?
In allen Templates via Plugin. Auf Forum-1 wird dir z.B. bei jeder Seitenaktualisierungein ein anderes Zitat angezeigt. Diese Datei rufe ich mit
<?php include ("zitate.php")" ?> auf. Die Zufälligkeit der Zitate wird in der PHP-Datei durchgeführt.
Ich verstehe eh nicht warum bei MyBB die Aktivierung zum Einfügen von PHP-Code nicht Standard eingebunden und aktivierbar ist. Soll doch jeder User selbst entscheiden ob er es aktiviert oder nicht.
Sollte ich der Ansicht sein helfen zu können biete ich Hilfe(n) an! ...ich bitte jedoch nicht darum helfen zu dürfen!
Tools ◀ [
Unixzeit ⇔ Realzeit] ♦ [
BOM-Finder] ♦ [
SQL-Prefix-Changer] ♦ [
USV-Rechner] ♦ [
PlugIns]
Beiträge: 1.136
Themen: 39
Registriert seit: 27.08.2014
Hast du dafür ein extra Plugin installiert? welches denn?
Beiträge: 25.761
Themen: 269
Registriert seit: 20.09.2005
(13.03.2019, 15:20)Gerti schrieb: b) in den Hilfeseiten funktioniert jedoch das Aufrufen des PHP-Codes nicht. Warum? es ist doch auch nur eine HTML-Datei!
Nein, die Hilfeseiten werden in der Datenbank gespeichert. PHP wird nicht ausgeführt.
(13.03.2019, 16:05)Gerti schrieb: Ich verstehe eh nicht warum bei MyBB die Aktivierung zum Einfügen von PHP-Code nicht Standard eingebunden und aktivierbar ist. Soll doch jeder User selbst entscheiden ob er es aktiviert oder nicht.
PHP stellt ein Sicherheitsrisiko da und sollte daher nicht über das Admin-CP (indirekt) ausgeführt werden können. Dies betrifft gerade auch Themes, die häufig von Download-Seiten heruntergeladen und importiert werden. Stell dir vor ein böser Theme-Autor baut PHP-Code ein, der Passwörter oder andere private Daten abgreift oder sogar das Forum zerstört und bietet dieses zum Download an.
Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Beiträge: 1.709
Themen: 177
Registriert seit: 08.02.2018
MyBB-Version: 1.8.37
13.03.2019, 20:52
(Dieser Beitrag wurde zuletzt bearbeitet: 13.03.2019, 21:04 von Gerti.)
(13.03.2019, 17:27)StefanT schrieb: Nein, die Hilfeseiten werden in der Datenbank gespeichert. PHP wird nicht ausgeführt.
Den von Dir geschilderten Sachstand habe ich selbst erkannt und fragte daher nach einem Lösungsweg.
(13.03.2019, 17:27)StefanT schrieb: (13.03.2019, 16:05)Gerti schrieb: Ich verstehe eh nicht warum bei MyBB die Aktivierung zum Einfügen von PHP-Code nicht Standard eingebunden und aktivierbar ist. Soll doch jeder User selbst entscheiden ob er es aktiviert oder nicht.
PHP stellt ein Sicherheitsrisiko da und sollte daher nicht über das Admin-CP (indirekt) ausgeführt werden können. Dies betrifft gerade auch Themes, die häufig von Download-Seiten heruntergeladen und importiert werden. Stell dir vor ein böser Theme-Autor baut PHP-Code ein, der Passwörter oder andere private Daten abgreift oder sogar das Forum zerstört und bietet dieses zum Download an.
Danke für die Erläuterung. Soweit kann ich mich Deiner Ausführung anschließen. Meine Wunsch geht jedoch direkt an MyBBin welchem ich anrege dass, wie bei phpBB, man diese Entscheidung "PHP-Include erlauben JA/NEIN (Vorgabe NEIN)" (incl. kleinem Risikohinweis) dem Adminstrator überlassen sollte. Dann würde sich ein zusätzliches Plugin erübrigen. Was bitte kann daran so schwer und unverantwortlich sein ein oftmals eingesetztes Plugin standardisiert in MyBB zu implementieren? Die Aktivierungsentscheidung und die damit verbundenen Risiken (wie bei allen eingepflegten Plugins udn Änderungen des Forums) bleiben doch in allen Fällen und zu 100% beim Forenbetreiber.
(13.03.2019, 16:42)itsmeJAY schrieb: Hast du dafür ein extra Plugin installiert? welches denn?
Siehe
hier, rechts Download oder direkt dieses "
phptpl-2.1.7z"
Sollte ich der Ansicht sein helfen zu können biete ich Hilfe(n) an! ...ich bitte jedoch nicht darum helfen zu dürfen!
Tools ◀ [
Unixzeit ⇔ Realzeit] ♦ [
BOM-Finder] ♦ [
SQL-Prefix-Changer] ♦ [
USV-Rechner] ♦ [
PlugIns]
Beiträge: 25.761
Themen: 269
Registriert seit: 20.09.2005
(13.03.2019, 20:52)Gerti schrieb: Den von Dir geschilderten Sachstand habe ich selbst erkannt und fragte daher nach einem Lösungsweg.
Ich habe nur dein "Warum?" beantwortet.
(13.03.2019, 20:52)Gerti schrieb: Danke für die Erläuterung. Soweit kann ich mich Deiner Ausführung anschließen. Meine Wunsch geht jedoch direkt an MyBBin welchem ich anrege dass, wie bei phpBB, man diese Entscheidung "PHP-Include erlauben JA/NEIN (Vorgabe NEIN)" (incl. kleinem Risikohinweis) dem Adminstrator überlassen sollte. Dann würde sich ein zusätzliches Plugin erübrigen. Was bitte kann daran so schwer und unverantwortlich sein ein oftmals eingesetztes Plugin standardisiert in MyBB zu implementieren? Die Aktivierungsentscheidung und die damit verbundenen Risiken (wie bei allen eingepflegten Plugins udn Änderungen des Forums) bleiben doch in allen Fällen und zu 100% beim Forenbetreiber.
Da bin ich zwar der falsche Ansprechpartner, aber:
a) Es ist es unsinnig absichtlich eine ernste Sicherheitslücke einzubauen. Da reicht ein "kleiner Risikohinweis", der wahrscheinlich von vielen gar nicht verstanden wird, definitiv nicht aus. Frühere Diskussion zu einer Sicherheitslücke im Template-System:
https://community.mybb.com/thread-66409.html
b) Das Argument, dass es doch nicht so schwer sein kann, kannst du bei praktisch jedem Plugin anwenden. Trotzdem kann nicht im Sinne der Nutzer sein jedes Feature zu integrieren, zumal das Plugin-System gerade zur einfacher Installation von Erweiterungen geschaffen worden ist.
c) Ab MyBB 1.9 wird das Template-System sowieso durch
Twig ersetzt.
Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Beiträge: 1.136
Themen: 39
Registriert seit: 27.08.2014
13.03.2019, 21:56
(Dieser Beitrag wurde zuletzt bearbeitet: 13.03.2019, 21:57 von itsmeJAY.)
(13.03.2019, 21:46)StefanT schrieb: c) Ab MyBB 1.9 wird das Template-System sowieso durch Twig ersetzt.
wird ab 1.9 MyBB komplett auf Symfony aufgebaut?
Beiträge: 25.761
Themen: 269
Registriert seit: 20.09.2005
Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Beiträge: 1.136
Themen: 39
Registriert seit: 27.08.2014
danke, klingt geil! ich freu miaaa.. :-P Weiß man schon ca. wann 1.9 kommt? Im .com-Forum kommen Gerüchte mit 2020 auf?