WBCE CMS Forum

mrbaseman

Developer

[erledigt] update Skript issues

Unter WBCE 1.3 haben wir ja mit mpForm ein Problem und ein Aspekt davon ist wie hier beschrieben dass unter Umständen eine alte Datei WB_PATH.'/modules/output_filter/filter-routines.php' noch im System vorhanden ist. Diese sollte vom update-Skript gelöscht werden.

Desweiteren fällt mir auf dass in admin/start/index.php und in den Sprachdateien noch die Rede vom upgrade-script.php ist. Dieses wird aber nicht mehr mit ausgeliefert. Ich hab noch nicht im Detail nachvollzogen, ob die Prüfung auf das upgrade-script überhaupt noch ausgeführt wird.

Die Meldung, dass das install Directory noch existiert wird jedenfalls gar nicht ausgegeben. Es wird stattdessen versucht, das Verzeichnis stillschweigend zu löschen und wenn das schief geht (z.B. wenn WB_PATH einem anderen User (z.B. ftp) gehört und 755 Rechte beseitzt, dann erscheint im Backend eine von php ausgeworfene Fehlermeldung, dass das Löschen fehlgeschlagen ist.

colinax

Developer

Re: [erledigt] update Skript issues

Wenn ich mich nicht täusche wurde die alte Datei drinnen gelassen, um Kompatibilität zu älteren Modulen zu gewähren.

Ja, die admin/start/index.php könnte man mal ausmisten.

Das "stillschweigende" löschen des Upgrade Scriptes und des Installordners ist ein Sicherheitsfeature.

Wenn das CMS am Server keine Rechte mehr hat, würde ich eher sagen, dass das ein Hoster Problem ist

Beitrag geändert von colinax (07.12.2017 13:38:59)

mrbaseman

Developer

Re: [erledigt] update Skript issues

Wenn ich mich nicht täusche wurde die alte Datei drinnen gelassen, um Kompatibilität zu älteren Modulen zu gewähren.

ok, dann muss man das im Hinterkopf behalten, dass das Verhalten je nach Historie der Seite an der Stelle unterschiedlich sein kann.

Das "stillschweigende" löschen des Upgrade Scriptes und des Installordners ist ein Sicherheitsfeature.

ist auch ok, wenn es funktioniert. Mein Punkt war, dass eigentlich eine Meldung vorgesehen ist/war wenn das stillschweigende Löschen nicht funktioniert, diese aber nicht ausgegeben wird. Vielleicht wird der Code einfach übersprungen, da man davon ausgeht, dass man den gar nicht mehr braucht... Das ist auch nicht so wichtig. Mir ist nur aufgefallen, dass ich nach einer Installation gewohnt war, diese Meldung zu sehen und sie ist nicht aufgetaucht. Das hat mich gewundert.

Wenn das CMS am Server keine Rechte mehr hat, würde ich eher sagen, dass das ein Hoster Problem ist

Ja, Das war auch eher ein konstruiertes Beispiel. Ich hab die Rechte mal so eingestellt um zu sehen, was passiert, wennn das Löschen fehlschlägt. Man könnte aber das auch als ein Sicherheitsfeature verkaufen, wenn der Webserver zwar Dateien lesen und ausführen darf, aber schreiben darf er bitte schön nur in einem temp-Verzeichnis oder in die Datenbank, aber keine php-Dateien anlegen und verändern. Man könnte es auch mit Rechten 555 auf Verzeichnissen umsetzen. Diejenigen, in die Uploads gehen sollen muss man natürlich ausnehmen. Ok, aber das ist jetzt ziemlich off-topic... :-)

colinax

Developer

Re: [erledigt] update Skript issues

Hab mir die admin/index.php und admin/start/index.php angesehen

In der admin/start/index.php gibt es min. zwei Baustellen, einmal das Löschverhalten der install/upgrade Dateien je nach Server werden Fehlermeldungen gepostet (siehe oben).

Die Zweite Baustelle berifft das automatische Aufrufen des Update-Scripts,es sucht im falschen Ordner & mit den falschen Versionsnummern.
Hier ist aber die Frage soll man die Funktion korrigieren oder entfernen?

Liese sich das automatische Aufrufen des Update-Scripts über die admin/index.php einfacher gestallten bzw. brauchen wir das if else in der  admin/index.php überhaupt noch da der installer bereits durch die /index.php aufgerufen wird?

florian

Administrator

Re: [erledigt] update Skript issues

So weit ich das sehe, kann der Block zum automatischen Aufruf des Upgrade-Scripts komplett raus oder müsste noch weiter überarbeitet werden, weil da noch die alten WB-Versions-Variablen gegeneinander geprüft werden, und da die Bedingung sowieso bei WBCE nie mehr erfüllt ist, würde selbst bei korrekter Pfadangabe das US nie aufgerufen.
In den Installations-/Updatehinweisen steht ja auch immer, dass das US manuell aufgerufen werden soll, also mMn weg damit.

Zum Nicht-Lösch-Problem: Hm, das sollte in der Tat noch gefixt werden, dass da irgend eine Art von Fehlermeldung erscheint, wenn das install-Verzeichnis nicht gelöscht werden kann. Der gesonderte Verweis auf das US kann da ja raus, weil das ja mit im /install-Verzeichnis liegt.

---

Code allein macht nicht glücklich. Jetzt spenden!

colinax

Developer

Re: [erledigt] update Skript issues

der automatischen Aufruf des Upgrade-Scripts fliegt raus, denn auch wenn man ihn korrigieren würde, könnte er nie gestartet werden da zu diesem Zeitpunkt das Script bereits gelöscht wurde.

Die Löschregeln müssen aus Sicherheitsgründen so bleiben, es gibt genug alte WB Versionen wo das Script noch drinnen ist und wenn man von den neueren WB Versionen migiert muss das Sript ja auch gelöscht werden.

Alternative wäre wir verschieben den Löschbefehl des [ROOT]/Upgrade Scripts in das [install]/Update Script.

florian

Administrator

Re: [erledigt] update Skript issues

Die Löschregeln müssen aus Sicherheitsgründen so bleiben, es gibt genug alte WB Versionen wo das Script noch drinnen ist und wenn man von den neueren WB Versionen migiert muss das Sript ja auch gelöscht werden.

ok, verstehe. Da hast Du Recht.
Dann einfach so lassen.

---

Code allein macht nicht glücklich. Jetzt spenden!

colinax

Developer

Re: [erledigt] update Skript issues

der automatischen Aufruf des Upgrade-Scripts fliegt raus, ...

Ist raus.