[Help] PHP mit SQL - Uploadfunktion - Forum

bambooS

OC Addicted

Registered: Oct 2005
Location: Vienna
Posts: 672

01.04.2011 - 12:01

Hi,

ich arbeite ehrenamtlich für eine Baksetball Hobbyliga.

Bei der Kaderbearbeitung besteht die Möglichkeit neben Namen und Email auch ein Bild vom Spieler hochzuladen.

Leider ist die Funktion mit dem Upload seit über 2 Jahren nicht mehr funktionstüchtig.

Ich wollte fragen, ob mir jmd helfen kann/will mit dem Codereview und Ausbesserung?

Das Ganze würde ich auch zahlen, wenn gewünscht

.

lg

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

01.04.2011 - 12:08

Poste mal den Code, sollte ne kleinigkeit sein.
Ich schätze mal, auf dem Server gabs vor ca. 2 Jahren (

) ein php-Update?

bambooS

OC Addicted

Registered: Oct 2005
Location: Vienna
Posts: 672

01.04.2011 - 14:38

Kann sein, bin mir nicht sicher. Liegt beim einem Provider und da schau ich eher bis gar nicht ob es ein Update gabe. Informiert werde ich auch nicht darüber.

Ich hab mal die Seite als TXT hochgeladen. Vorher in ein PHP umbennen.

lg

kaderedit_166542.txt (downloaded 82x)

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25494

01.04.2011 - 15:00

Ums Debuggen mit print_r() und die() in der FileUpload() Funktion wirst du nicht drumrum kommen. Schätze auch, dass es wahrscheinlich an der Server-Konfiguration liegt. Würde mal rund um die Funktion move_uploaded_file() schauen, ob der Code überhaupt ausgeführt wird und ob das File dann am Server landet.

bambooS

OC Addicted

Registered: Oct 2005
Location: Vienna
Posts: 672

01.04.2011 - 15:12

Und genau hier liegt das Problem. Ich schaffe es Kleinigkeiten zu ändern bzw. anzupassen. Mehr aber auch nicht mehr.

Ich habe das "Projekt" übernommen und meine Programmierkenntnisse sind gerade mal Anfänger.

Deswegen habe ich gefragt, ob jmd Zeit hat und was er kosten würde um sich der Sache ein für alle mal anzunehmen und zu korrigieren.

lg

ps: außer jmd erkennt sofert was am code falsch ist...

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4295

01.04.2011 - 20:42

Einen Fehler im Code hab ich ziemlich oft gefunden: anfällig für SQL-Injection.
Wird die Funktion überhaupt aufgerufen? Wenn was schief läuft, sollte sie ja irgendeine Fehlermeldung geben.

bambooS

OC Addicted

Registered: Oct 2005
Location: Vienna
Posts: 672

01.04.2011 - 23:01

Ein bisschen verwirrt?!

Meinst du, dass der Code an sich anfääig für Attacken ist? Kann ich mir gut vorstellen. Ich hoffe nur, dass die Seite einfach zu unbedeutend ist...

Es kommt keine Fehlermeldung (wenn man versucht Bilder upzuloaden. Egal ob der Spieler neu ist oder ein bereits vorhandener geändert wird).

Trotz allem wird kein Foto upgeloadet.

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4295

01.04.2011 - 23:10

So wie ich das sehe, wird jede Eingabe nahezu ungeprüft direkt übernommen, es sollte zumindest mysql_escape_string() verwendet werden.

Hast du schon mal die paar Debug-Zeilen aktiviert in FileUpload()?

bambooS

OC Addicted

Registered: Oct 2005
Location: Vienna
Posts: 672

02.04.2011 - 12:17

Zitat von bambooS
Und genau hier liegt das Problem. Ich schaffe es Kleinigkeiten zu ändern bzw. anzupassen. Mehr aber auch nicht mehr.

Ich habe das "Projekt" übernommen und meine Programmierkenntnisse sind gerade mal Anfänger.

Deswegen habe ich gefragt, ob jmd Zeit hat und was er kosten würde um sich der Sache ein für alle mal anzunehmen und zu korrigieren.

Das ich Anfänger bin, heisst auch, dass ich eher unfähig bin etwas zu debuggen.
Außer jmd sagt mir, was ich wie zu ändern habe im Code und ich kann es dann machen.

Wie gesagt kleinerChemiker. Die Seite müsste komplett überarbeitet werden, jedoch bin ich nicht der Richtige um dies zu machen. Ich habe versucht den Organisator zu überreden mir Geld zur Verfügung zu stellen um Verbesserungen einzubauen. Leider ohne Erfolg.

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4295

02.04.2011 - 12:23

Du hast in der Funktion ein paar"echo" auskommentiert. Entferne die # und schau was die Funktion ausgibt. Eventuell kannst du auch kurzzeitig Errorreporting auf E_ALL ändern, vielleicht gibt das was interessantes aus.

Du kannst den Betreiber ja mal auf die Sicherheitsprobleme aufmerksam machen.

bambooS

OC Addicted

Registered: Oct 2005
Location: Vienna
Posts: 672

02.04.2011 - 20:40

Ich wollte schreiben, dass ich es testen werde aber momentan kann ich die Seite nicht erreichen.

so ein Dreck...

Edit: Interessant das es über das iPhone geht...Lang lebe UPC...

Bearbeitet von bambooS am 02.04.2011, 21:43

bambooS

OC Addicted

Registered: Oct 2005
Location: Vienna
Posts: 672

04.04.2011 - 11:05

Nachdem ich mich gespielt habe, dürfte ich den Fehler erkannt haben.

Früher war es so, dass egal was der Benutzer hochgeladen hat, die Datei in ein jpg umgewandelt wurde.

Anscheinend haben ich mit jmd diese Funktion umgeändert und auf ein paar wenige Erweiterungen eingeschränkt.

Ich habe diese nun erweitert und somit sollte es zukünftig passen.

Danke für eure Hilfe. Dadruch habe ich den Fehler erst erkannt

.

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25494

04.04.2011 - 11:08

Freut mich!

bambooS OC Addicted Registered: Oct 2005 Location: Vienna Posts: 672	01.04.2011 - 12:01 Hi, ich arbeite ehrenamtlich für eine Baksetball Hobbyliga. Bei der Kaderbearbeitung besteht die Möglichkeit neben Namen und Email auch ein Bild vom Spieler hochzuladen. Leider ist die Funktion mit dem Upload seit über 2 Jahren nicht mehr funktionstüchtig. Ich wollte fragen, ob mir jmd helfen kann/will mit dem Codereview und Ausbesserung? Das Ganze würde ich auch zahlen, wenn gewünscht . lg
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	01.04.2011 - 12:08 Poste mal den Code, sollte ne kleinigkeit sein. Ich schätze mal, auf dem Server gabs vor ca. 2 Jahren () ein php-Update?
bambooS OC Addicted Registered: Oct 2005 Location: Vienna Posts: 672	01.04.2011 - 14:38 Kann sein, bin mir nicht sicher. Liegt beim einem Provider und da schau ich eher bis gar nicht ob es ein Update gabe. Informiert werde ich auch nicht darüber. Ich hab mal die Seite als TXT hochgeladen. Vorher in ein PHP umbennen. lg kaderedit_166542.txt (downloaded 82x)
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25494	01.04.2011 - 15:00 Ums Debuggen mit print_r() und die() in der FileUpload() Funktion wirst du nicht drumrum kommen. Schätze auch, dass es wahrscheinlich an der Server-Konfiguration liegt. Würde mal rund um die Funktion move_uploaded_file() schauen, ob der Code überhaupt ausgeführt wird und ob das File dann am Server landet.
bambooS OC Addicted Registered: Oct 2005 Location: Vienna Posts: 672	01.04.2011 - 15:12 Und genau hier liegt das Problem. Ich schaffe es Kleinigkeiten zu ändern bzw. anzupassen. Mehr aber auch nicht mehr. Ich habe das "Projekt" übernommen und meine Programmierkenntnisse sind gerade mal Anfänger. Deswegen habe ich gefragt, ob jmd Zeit hat und was er kosten würde um sich der Sache ein für alle mal anzunehmen und zu korrigieren. lg ps: außer jmd erkennt sofert was am code falsch ist...
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4295	01.04.2011 - 20:42 Einen Fehler im Code hab ich ziemlich oft gefunden: anfällig für SQL-Injection. Wird die Funktion überhaupt aufgerufen? Wenn was schief läuft, sollte sie ja irgendeine Fehlermeldung geben.
bambooS OC Addicted Registered: Oct 2005 Location: Vienna Posts: 672	01.04.2011 - 23:01 Ein bisschen verwirrt?! Meinst du, dass der Code an sich anfääig für Attacken ist? Kann ich mir gut vorstellen. Ich hoffe nur, dass die Seite einfach zu unbedeutend ist... Es kommt keine Fehlermeldung (wenn man versucht Bilder upzuloaden. Egal ob der Spieler neu ist oder ein bereits vorhandener geändert wird). Trotz allem wird kein Foto upgeloadet.
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4295	01.04.2011 - 23:10 So wie ich das sehe, wird jede Eingabe nahezu ungeprüft direkt übernommen, es sollte zumindest mysql_escape_string() verwendet werden. Hast du schon mal die paar Debug-Zeilen aktiviert in FileUpload()?
bambooS OC Addicted Registered: Oct 2005 Location: Vienna Posts: 672	02.04.2011 - 12:17 Zitat von bambooS Und genau hier liegt das Problem. Ich schaffe es Kleinigkeiten zu ändern bzw. anzupassen. Mehr aber auch nicht mehr. Ich habe das "Projekt" übernommen und meine Programmierkenntnisse sind gerade mal Anfänger. Deswegen habe ich gefragt, ob jmd Zeit hat und was er kosten würde um sich der Sache ein für alle mal anzunehmen und zu korrigieren. Das ich Anfänger bin, heisst auch, dass ich eher unfähig bin etwas zu debuggen. Außer jmd sagt mir, was ich wie zu ändern habe im Code und ich kann es dann machen. Wie gesagt kleinerChemiker. Die Seite müsste komplett überarbeitet werden, jedoch bin ich nicht der Richtige um dies zu machen. Ich habe versucht den Organisator zu überreden mir Geld zur Verfügung zu stellen um Verbesserungen einzubauen. Leider ohne Erfolg.
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4295	02.04.2011 - 12:23 Du hast in der Funktion ein paar"echo" auskommentiert. Entferne die # und schau was die Funktion ausgibt. Eventuell kannst du auch kurzzeitig Errorreporting auf E_ALL ändern, vielleicht gibt das was interessantes aus. Du kannst den Betreiber ja mal auf die Sicherheitsprobleme aufmerksam machen.
bambooS OC Addicted Registered: Oct 2005 Location: Vienna Posts: 672	02.04.2011 - 20:40 Ich wollte schreiben, dass ich es testen werde aber momentan kann ich die Seite nicht erreichen. so ein Dreck... Edit: Interessant das es über das iPhone geht...Lang lebe UPC... Bearbeitet von bambooS am 02.04.2011, 21:43
bambooS OC Addicted Registered: Oct 2005 Location: Vienna Posts: 672	04.04.2011 - 11:05 Nachdem ich mich gespielt habe, dürfte ich den Fehler erkannt haben. Früher war es so, dass egal was der Benutzer hochgeladen hat, die Datei in ein jpg umgewandelt wurde. Anscheinend haben ich mit jmd diese Funktion umgeändert und auf ein paar wenige Erweiterungen eingeschränkt. Ich habe diese nun erweitert und somit sollte es zukünftig passen. Danke für eure Hilfe. Dadruch habe ich den Fehler erst erkannt .
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25494	04.04.2011 - 11:08 Freut mich!

[Help] PHP mit SQL - Uploadfunktion

Forum Index > Software > Coding Stuff

bambooS

Obermotz

bambooS

mat

bambooS

kleinerChemiker

bambooS

kleinerChemiker

bambooS

kleinerChemiker

bambooS

bambooS

mat