PollsNew

Slugger · 09.03.2024 13:41:20

Was hast du den vor?

cyberdyne · 09.03.2024 23:07:51

Slugger wrote:

Was hast du den vor?

Guten Abend,
eine Umfrage mit 15 - 20 Themen/ Schwerpunkte soll es werden. Alle Punkte können jeweils markiert werden können. Am Ende soll eine Auswertung der getroffenen Auswahl ausgegeben werden.

Grüße,
Klaus

florian · 10.03.2024 00:14:07

Aber hallo. Das ist dann doch eher etwas für ein richtiges Umfrageetool wie Limesurvey.

cyberdyne · 10.03.2024 12:23:14

florian wrote:

Aber hallo. Das ist dann doch eher etwas für ein richtiges Umfrageetool wie Limesurvey.

Guten Morgen,
bin über andere Kanäle fündig geworden und kann nun meinerseits aidaforum wärmstens empfehlen. Vor allem wegen der einfachen Implementierung als html via CODE2 in die bestehende WBCE-Seite. Sieht auch ohne Bezahlaccount richtig gut aus.

Schönen Sonntag & viele Grüße,
Klaus

florian

kleo · 24.04.2025 13:37:16

Moin,

bei der Auswertung der Log-Datei für Webseitezugriffe habe ich folgenden Aufruf gefunden:

...modules/pollsnew/ajax/show_results.php

Ich habe probiert die Adresse selbst aufzurufen, es geht und es wird die leere Seite angezeigt mit dem Text. dass keine Ergebnisse vorliegen.

Es hat mich ein wenig gewundert, dass die Datei show_results.php direkt im Browser aufgerufen werden kann, genauso wie die anderen Dateien aus diesem Ordner:

delete_votes.php

regist_vote.php

In diesem Zusammenhang habe ich einige Fragen:

1. Werden beimr direkten Aufruf der Datei show_results.php die Ergebnisse einer aktueller Befragung gezeigt?

2. Warum beim Aufruf einer Datei des Moduls, wie z.B. modules/pollsnew/delete.php die Weiterleitung zur Startseite der Webseite erfolgt, und bei den anderen wie z.B. functions.inc.php nicht?

3. Wäre es aus Sicherheitsgründen sinvoll den direkten Aufruf der jeweiligen Dateien eines Moduls zu verbieten und generell zur Startseite umzuleieten?

kleo · 26.04.2025 11:44:08

Moin,

eine allgemeine Frage, unabhängig von diesem Modul:

Wäre es aus Sicherheitsgründen sinvoll den direkten Aufruf über Browser der jeweiligen Dateien eines Moduls zu verbieten und generell zur Startseite umzuleieten?

Last edited by kleo (26.04.2025 11:44:45)

webbird · 28.04.2025 15:04:09

Ja, natürlich.

kleo · 29.04.2025 10:37:41

webbird wrote:

Ja, natürlich.

Wie macht man am besten?

Ich glaube davon betroffen sind auch viele anderen Modulle.

webbird · 29.04.2025 16:43:49

Das wichtigste ist die Prüfung, ob die Datei innerhalb von WBCE aufgerufen wurde, oder direkt im Browser. Das erfolgt über die Prüfung der Konstante WB_PATH. Es gibt da mehrere Varianten, zum Beispiel:

[== PHP ==]
// Must include code to stop this file being access directly
if (!defined('WB_PATH')) {
    exit("Cannot access this file directly");
}

oder

[== PHP ==]
if (!defined('WB_PATH')) die(header('Location: index.php'));

Welche "best practice" in WBCE gilt, kann ich spontan nicht sagen. In den Beispielen wird im ersten Fall eine Fehlermeldung ausgegeben, im zweiten stillschweigend auf die index.php (von WBCE) umgeleitet.

Scripten, die ein Backend Login erfordern, sollten mindestens die admin.php im Verzeichnis <WB_PATH>/modules einbinden. Zusätzlich kann über die Admin-Klasse (class.admin.php im framework-Verzeichnis) prüfen, ob bestimmte Benutzerrechte vorliegen. Die admin.php im modules-Verzeichnis prüft immerhin schon mal, ob der Benutzer prinzipiell Seiten bearbeiten darf.

Bei Aufruf via AJAX wirst Du das Problem haben, dass dieser praktisch schon per Definition immer außerhalb von WBCE stattfindet. Da ist die Sache etwas komplizierter. Du musst sicherstellen, dass die Daten, die man auf diese Weise potenziell erhalten kann, auch bei Angabe der korrekten Aufrufparameter (z.B. page_id, section_id etc.) keine "heiklen" Informationen sind. Wenn Du das nicht so ohne weiteres sicherstellen kannst, wird es *richtig* kompliziert. Dann musst Du über das Session Cookie prüfen, ob es sich um einen legitimierten Benutzer handelt oder nicht. Oder halt auf AJAX verzichten.

Das erst mal ganz allgemein. Ob es dazu eine aktuelle Anleitung gibt, kann ich leider nicht sagen. Das "Hello World"-Modul ist in der Hinsicht leider nicht hilfreich.

kleo · 29.04.2025 21:27:22

Moin,

danke für die Antwort.

Heißt es, dass die PHP-Datein des Moduls einen von den zwei vorgeschlagenen Code am Anfang der Datei beinhalten sollen?
Oder?

Last edited by kleo (29.04.2025 21:29:08)

webbird · 30.04.2025 11:59:29

Genau. Laut "Hello World"-Vorlage die zweite Variante.

florian · 05.05.2025 16:35:59

Wenn Dateien irgendwo "reingeajaxt" werden, ist if (!defined('WB_PATH')) die() nicht anwendbar.

Die Dateien werden in der view.tpl und modify.tpl aufgerufen (z.B. Zeile 157).
Wenn man diesen ändert in

var delete_file = '<?=WB_URL?>/modules/<?=$mod_dir?>/ajax/delete_votes.php?sec=Wqu4UTopYWCBKOjJRE';

usw
und dann in den jeweiligen Dateien gleich als erste Zeile einfügt

if (!isset($_GET['sec']) || $_GET['sec']!="Wqu4UTopYWCBKOjJRE") { die(header('Location: ../../../index.php')); }

also irgend einen x-beliebigen String übergibt und prüft, ob dieser vorhanden ist, bleibt einerseits die Funktionalität erhalten und andererseits wird beim direkten Aufruf der ajax-Dateien dann auf die Startseite weitergeleitet.
Ist zwar nicht Fort Knox, hält aber zumindest Herumprobierer ab, glaube ich.

WBCE CMS Forum

#26 09.03.2024 13:41:20

Re: PollsNew

#27 09.03.2024 23:07:51

Re: PollsNew

#28 10.03.2024 00:14:07

Re: PollsNew

#29 10.03.2024 12:23:14

Re: PollsNew

#30 24.04.2025 13:37:16

Re: PollsNew

#31 26.04.2025 11:44:08

Re: PollsNew

#32 28.04.2025 15:04:09

Re: PollsNew

#33 29.04.2025 10:37:41

Re: PollsNew

#34 29.04.2025 16:43:49

Re: PollsNew

#35 29.04.2025 21:27:22

Re: PollsNew

#36 30.04.2025 11:59:29

Re: PollsNew

#37 05.05.2025 16:35:59

Re: PollsNew

Board footer