PollsNew

Slugger · 09.03.2024 12:41:20

Was hast du den vor?

cyberdyne · 09.03.2024 22:07:51

Slugger wrote:

Was hast du den vor?

Guten Abend,
eine Umfrage mit 15 - 20 Themen/ Schwerpunkte soll es werden. Alle Punkte können jeweils markiert werden können. Am Ende soll eine Auswertung der getroffenen Auswahl ausgegeben werden.

Grüße,
Klaus

florian · 09.03.2024 23:14:07

Aber hallo. Das ist dann doch eher etwas für ein richtiges Umfrageetool wie Limesurvey.

cyberdyne · 10.03.2024 11:23:14

florian wrote:

Aber hallo. Das ist dann doch eher etwas für ein richtiges Umfrageetool wie Limesurvey.

Guten Morgen,
bin über andere Kanäle fündig geworden und kann nun meinerseits aidaforum wärmstens empfehlen. Vor allem wegen der einfachen Implementierung als html via CODE2 in die bestehende WBCE-Seite. Sieht auch ohne Bezahlaccount richtig gut aus.

Schönen Sonntag & viele Grüße,
Klaus

florian

kleo · 24.04.2025 12:37:16

Moin,

bei der Auswertung der Log-Datei für Webseitezugriffe habe ich folgenden Aufruf gefunden:

...modules/pollsnew/ajax/show_results.php

Ich habe probiert die Adresse selbst aufzurufen, es geht und es wird die leere Seite angezeigt mit dem Text. dass keine Ergebnisse vorliegen.

Es hat mich ein wenig gewundert, dass die Datei show_results.php direkt im Browser aufgerufen werden kann, genauso wie die anderen Dateien aus diesem Ordner:

delete_votes.php

regist_vote.php

In diesem Zusammenhang habe ich einige Fragen:

1. Werden beimr direkten Aufruf der Datei show_results.php die Ergebnisse einer aktueller Befragung gezeigt?

2. Warum beim Aufruf einer Datei des Moduls, wie z.B. modules/pollsnew/delete.php die Weiterleitung zur Startseite der Webseite erfolgt, und bei den anderen wie z.B. functions.inc.php nicht?

3. Wäre es aus Sicherheitsgründen sinvoll den direkten Aufruf der jeweiligen Dateien eines Moduls zu verbieten und generell zur Startseite umzuleieten?

kleo · 26.04.2025 10:44:08

Moin,

eine allgemeine Frage, unabhängig von diesem Modul:

Wäre es aus Sicherheitsgründen sinvoll den direkten Aufruf über Browser der jeweiligen Dateien eines Moduls zu verbieten und generell zur Startseite umzuleieten?

Last edited by kleo (26.04.2025 10:44:45)

webbird · 28.04.2025 14:04:09

Ja, natürlich.

kleo · 29.04.2025 09:37:41

webbird wrote:

Ja, natürlich.

Wie macht man am besten?

Ich glaube davon betroffen sind auch viele anderen Modulle.

webbird · 29.04.2025 15:43:49

Das wichtigste ist die Prüfung, ob die Datei innerhalb von WBCE aufgerufen wurde, oder direkt im Browser. Das erfolgt über die Prüfung der Konstante WB_PATH. Es gibt da mehrere Varianten, zum Beispiel:

[== PHP ==]
// Must include code to stop this file being access directly
if (!defined('WB_PATH')) {
    exit("Cannot access this file directly");
}

oder

[== PHP ==]
if (!defined('WB_PATH')) die(header('Location: index.php'));

Welche "best practice" in WBCE gilt, kann ich spontan nicht sagen. In den Beispielen wird im ersten Fall eine Fehlermeldung ausgegeben, im zweiten stillschweigend auf die index.php (von WBCE) umgeleitet.

Scripten, die ein Backend Login erfordern, sollten mindestens die admin.php im Verzeichnis <WB_PATH>/modules einbinden. Zusätzlich kann über die Admin-Klasse (class.admin.php im framework-Verzeichnis) prüfen, ob bestimmte Benutzerrechte vorliegen. Die admin.php im modules-Verzeichnis prüft immerhin schon mal, ob der Benutzer prinzipiell Seiten bearbeiten darf.

Bei Aufruf via AJAX wirst Du das Problem haben, dass dieser praktisch schon per Definition immer außerhalb von WBCE stattfindet. Da ist die Sache etwas komplizierter. Du musst sicherstellen, dass die Daten, die man auf diese Weise potenziell erhalten kann, auch bei Angabe der korrekten Aufrufparameter (z.B. page_id, section_id etc.) keine "heiklen" Informationen sind. Wenn Du das nicht so ohne weiteres sicherstellen kannst, wird es *richtig* kompliziert. Dann musst Du über das Session Cookie prüfen, ob es sich um einen legitimierten Benutzer handelt oder nicht. Oder halt auf AJAX verzichten.

Das erst mal ganz allgemein. Ob es dazu eine aktuelle Anleitung gibt, kann ich leider nicht sagen. Das "Hello World"-Modul ist in der Hinsicht leider nicht hilfreich.

kleo · 29.04.2025 20:27:22

Moin,

danke für die Antwort.

Heißt es, dass die PHP-Datein des Moduls einen von den zwei vorgeschlagenen Code am Anfang der Datei beinhalten sollen?
Oder?

Last edited by kleo (29.04.2025 20:29:08)

webbird · 30.04.2025 10:59:29

Genau. Laut "Hello World"-Vorlage die zweite Variante.

florian · 05.05.2025 15:35:59

Wenn Dateien irgendwo "reingeajaxt" werden, ist if (!defined('WB_PATH')) die() nicht anwendbar.

Die Dateien werden in der view.tpl und modify.tpl aufgerufen (z.B. Zeile 157).
Wenn man diesen ändert in

var delete_file = '<?=WB_URL?>/modules/<?=$mod_dir?>/ajax/delete_votes.php?sec=Wqu4UTopYWCBKOjJRE';

usw
und dann in den jeweiligen Dateien gleich als erste Zeile einfügt

if (!isset($_GET['sec']) || $_GET['sec']!="Wqu4UTopYWCBKOjJRE") { die(header('Location: ../../../index.php')); }

also irgend einen x-beliebigen String übergibt und prüft, ob dieser vorhanden ist, bleibt einerseits die Funktionalität erhalten und andererseits wird beim direkten Aufruf der ajax-Dateien dann auf die Startseite weitergeleitet.
Ist zwar nicht Fort Knox, hält aber zumindest Herumprobierer ab, glaube ich.

mikejd · 22.07.2025 16:25:50

I would like to add this module to my website. I have downloaded the module file and installed it on the website. I have started a new page to display my poll and it appears to be quite straight-forward to complete the settings for the page. I would like to ask if there are any instructions or guide to use of the module which may help me

mikejd · 22.07.2025 16:31:58

Further to my post above:
If I make changes to the Item titles and then save I receive an error message and the changes do not get saved.
The message is :
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 't support', `poll_scores` = '0,0', `poll_ttl` = '24', `txt_vote` = 'Vote now'...' at line 1
Could someone advise me please on how I can avoid this?

Also is it possible to add a 'Comments' box below the poll buttons to send additional comments to the site?

Last edited by mikejd (22.07.2025 16:35:15)

florian · 22.07.2025 19:43:12

The module is buggy. Don't use it.
I've removed it from the AOR.

Please use the reviews module which is available in the WBCE AOR.
https://addons.wbce.org/pages/addons.ph … em&item=87
You can refer to the manual on http://reviews.dev4me.nl/.

mikejd · 22.07.2025 20:31:39

Thanks Florian, I'ii give it a try

Mike

florian · 20.08.2025 11:38:53

Als Nachfolgemodul gibt es jetzt / PollsNew can be replaced with "Votes":
https://addons.wbce.org/pages/addons.ph … m&item=138

WBCE CMS Forum

#26 09.03.2024 12:41:20

Re: PollsNew

#27 09.03.2024 22:07:51

Re: PollsNew

#28 09.03.2024 23:14:07

Re: PollsNew

#29 10.03.2024 11:23:14

Re: PollsNew

#30 24.04.2025 12:37:16

Re: PollsNew

#31 26.04.2025 10:44:08

Re: PollsNew

#32 28.04.2025 14:04:09

Re: PollsNew

#33 29.04.2025 09:37:41

Re: PollsNew

#34 29.04.2025 15:43:49

Re: PollsNew

#35 29.04.2025 20:27:22

Re: PollsNew

#36 30.04.2025 10:59:29

Re: PollsNew

#37 05.05.2025 15:35:59

Re: PollsNew

#38 22.07.2025 16:25:50

Re: PollsNew

#39 22.07.2025 16:31:58

Re: PollsNew

#40 22.07.2025 19:43:12

Re: PollsNew

#41 22.07.2025 20:31:39

Re: PollsNew

#42 20.08.2025 11:38:53

Re: PollsNew

Board footer