Beiträge von Wiimm

Wiimm · 31. Mai 2016

Da ich per PN nach der Bridge gefragt wurde, hole ich hier etwas aus:

Die Bridge ist u.a. seit 2 Jahren bei Wiimmfi.de im Einsatz um beim WBB4-Forum die Kennwörter abzugleichen. Aus Wiimmfi habe ich auch die Funktionen kopiert. Die beiden Funktionen LoginHandlerWBB4() und LoginWBB4() kann man natürlich zusammenfassen; sie sind bei mir nur getrennt, da sie Bestandteil einer Source-Lib sind und ich 2 Interfaces nutze.

Wichtig ist, dass nur Hashs im WBB3 und WBB4 Format unterstützt werden, nicht aber ältere. Bei jeder Kennwort-Änderung im WBB wird das jeweils aktuelle Hash-Verfahren verwendet. Ansonsten bleiben beim Update von WBB alte Hash-Formate erhalten.

Ich verwende das Object $DB, welches automatisch bei einem einen SQL-Fehler sowohl die Query als auch den Fehlerstatus ausgibt. Die Fehlerausgabe wäre hier auch sinnvoll. Denn wie ich schon im Forum schrieb: Ein gut genutzter Fehlerkanal hilft ungemein. Bei uns wird konsequent jeder Fehler im error log beseitigt, so dass das Log im Normalfall aktiviert ist und trotzdem leer bleibt.

Dann muss das Tipp-Spiel Lesezugriff auf die WBB4-Tabelle wcf1_users haben. DB- und Tabellen-Name müssen richtig angegeben sein. Zur Rechtevergabe nutze ich den SQL-Befehl:

Code

grant select on WBB4.wcf1_user for USER@localhost

Unter der Annahme, dass USER der DB-Nutzer des Tipp-Spiels ist und WBB4 der Datenbankname. Genau diese Rechtevergabe kann aber Probleme bereiten, wenn man nicht Herr der Datenbank ist und somit keine Rechte für GRANT hat.

Die Alternative ist, ein mysqli-Object mit den Anmeldedaten vom WBB4 zu erstellen, um den Benutzer zu verifizieren. Die Funktionen könnten dann so aussehen:

Code

function VerifyPasswordWBB4 ( $pw, $hash )
{
// Verify a password entered by the user against a WBB4 hash value.
// Only WBB3 and WBB4 style hashes are supported.
// Returns TRUE for a correct password and FALSE otherwise.
if ( substr($hash,0,5) == 'wcf1:' ) // WBB3
{
$param = explode(':',substr($hash,5)); // hash:salt
return count($param) == 2
&& sha1( $param[1] . sha1( $param[1] . sha1( $pw )) ) == $param[0];
}
return crypt( crypt($pw,$hash), $hash ) == $hash;
}
function LoginWBB4 ( $user, $pw )
{
global $WBB4_HOST, $WBB4_USER, $WBB4_PW, $WBB4_NAME, $WBB4_TAB;
$db = new mysqli($WBB4_HOST,$WBB4_USER,$WBB4_PW,$WBB4_NAME);
if (!$db)
die("Can't open WBB4 DB");
$query = "SELECT userid,username,password,banned FROM `$WBB4_TAB`"
." WHERE username=\"{$db->real_escape_string($user)}\"";
$res = $db->query($query);
if ( $res === FALSE )
{
error_log('#DB-ERROR: '.$db->error);
die("Can't access WBB4 DB");
}
$row = $res->fetch_object('stdClass');
$db->close();
if ( !$row)
return FALSE;
// return an object
$acc = (object)NULL;
$acc->user_id = $row->userid;
$acc->account = $row->username;
$acc->disabled = $row->banned > 0;
$acc->pw_ok = VerifyPasswordWBB4($pw,$row->password);
return $acc;
}

Alles anzeigen

Anmerkungen:

Der neue Kode wurde von mir auf die schnelle runtergeschriebenen und ist absolut ungetestet.
Ich habe keine Ahnung, ob und wie sich die Klasse mysqli und die globalen Funktionen mysql_*() gegenseitig beeinflussen und ob sie störungsfrei nebeneinander genutzt werden können. Die Funktionen gelten sowieso schon lange als deprecated, so dass das TippSpiel kurzfristig auf die Klasse mysqli umgestellt werden muss.
Ich weiß nicht, ob WBB4 auch auf Windows läuft. Ich weiß aber, dass die Funktion crypt() unter Windows andere Algorithmen unterstützt. Falls WBB4 Windows-tauglich ist, kann es durchaus sein, dass die Windows-Funktion den Hash anders berechnet. Dann müsste die Funktion VerifyPasswordWBB4() angepasst werden.

Wiimm · 31. Mai 2016

Ich habe in ./include/inc.config.php die beiden Zeilen auskommentiert, weiß aber nicht, ob es so gedacht ist:

Code

#$CONFIG['MENU']['MAIN']['FORUM']['TEXT'] = "Forum";
#$CONFIG['MENU']['MAIN']['FORUM']['LINK'] = "forum/";

Wiimm · 30. Mai 2016

Zitat von Azoura

Klappt leider beides nicht. Weder der neue Pfad noch die TEST.PHP?! Bei der TEST.PHP bekomme ich ein Seitenladefehler (Fehler im Quelltext?!).

Merkwürdig. Ich nutze das Script schon seit Jahren und passe nur den freien Text an. Allerdings ist php beim Umgang der End-Marke des Here-Documents (__EOT__) sehr pingelig. Kein Leerzeichen davor oder danach ist möglich (also auch keine Einrückung). Neben dem Marker ist nur ein Semikolon erlaubt.

Wiimm · 30. Mai 2016

Zitat von proxymus

Uncaught Error: Call to a member function fetch_array() on boolean in

Das sieht aus, als ob eine SQL-Abfrage einen Fehler gemeldet hat (Wert FALSE), der Fehler aber ignoriert wurde und dann unerlaubter Weise als Ergebnis-Resource für den nächste mysql-Funktion verwendet wurde.

Wiimm · 30. Mai 2016

Zitat von oldie

oh je du setzt voraus das sich alle User mit php was nicht der Fall ist auskennen und auch einen error log bekommen viele haben aber nur kostenlosen webspace und da gibt es in der Regel keinen error log

Nein, dass setze ich nicht voraus. Ich beantworte nur die Frage, wie man bessere Fehlermeldungen erhält mit der Beschreibung einer durchaus üblichen und verbreiteten Methode.

Allerdings gebe ich die Recht, das viele Anwender damit überfordert sind. Deswegen gehört es ja auch zu den Aufgaben eines Entwicklers, eine vernünftige Fehlerauswertung zu liefern. Sie würde allen, Entwicklern und Anwendern, enorm helfen. Und wenn der Fehlerkanal nicht verfügbar ist, dann geht es auch bedingt für Admins mit "<pre> print_r() </pre>" auch über die Weboberfläche.

Wiimm · 30. Mai 2016

lege doch mal im Hauptverzeichnis die Datei "test.php" wie folgt an:

HTML

<?PHP
$HTTP_HOST = $_SERVER['HTTP_HOST'];
$REMOTE_ADDR = $_SERVER['REMOTE_ADDR'];
$SERVER_ADDR = $_SERVER['SERVER_ADDR'];
$SCRIPT_NAME = $_SERVER['SCRIPT_NAME'];
echo <<< __EOT__
<html>
<head>
<title>{$HTTP_HOST}</title>
</head>
<body>
<h1 style="margin-bottom:0; color:#0000a0">{$HTTP_HOST}</h1>
{$REMOTE_ADDR} → {$SERVER_ADDR}{$SCRIPT_NAME}
<p>
Tipp-Spiel
</body>
</html>
__EOT__;
?>

Alles anzeigen

Dann rufe http://deine.domain.de/EM2016/test.php auf und schaue, was dabei herauskommt.

Wiimm · 30. Mai 2016

Zuerst das error log aktivieren (Zeile auskommentieren; error log wird relativ schnell voll):

Code

--- inc.config.php.orig 2016-05-30 15:37:30.098294776 +0200+++ inc.config.php 2016-05-30 10:57:48.857325882 +0200@@ -222,7 +222,7 @@ ########################################################-error_reporting(0); # NUR BEI BEDARF �NDERN und wenn man wei� was man tut! #+#error_reporting(0); # NUR BEI BEDARF �NDERN und wenn man wei� was man tut! # ########################################################

Dann hinter jeder verdächtigen SQL-Anfrage sowas schreiben:

Code

$xxx = mysql_query(...)if ( $xxx === FALSE ) error_log('#DB-ERROR: '.mysql_error());

Übertragen für die Registrierung:

Diff

--- home.registrieren.php.orig 2016-05-30 15:30:11.126892435 +0200
+++ home.registrieren.php 2016-05-30 15:41:44.597947944 +0200
@@ -825,6 +825,7 @@
."'". $_POST['opt']['showflash'] ."',"
."0)";
$result = mysql_query($sql);
+ if ( $result === FALSE ) error_log('#DB-ERROR: '.mysql_error());
$newuserid = mysql_insert_id();
// Prüfeintrag in der Datenbank aktualisieren

Alles anzeigen

Und jetzt im error log nach #DB-ERROR: suchen.

Wiimm · 30. Mai 2016

Das / ist ein notwendiger Begrenzer, der vorne und hinten steht. Mann kann auch andere Zeichen nutzen wie z.B. +. Der Begrenzer selbst darf nur mit führendem \ im Suchstring (pattern) vorkommen (Ausnahme in [...])

Im obigen Beispiel: /pattern/i
Das "i" am Ende steht dann für "ignore case", so dass strtolower() hier unnötig ist.

Wiimm · 30. Mai 2016

Ja, über Kommandozeile.
Und es wirkte, da mein patch durch die SMTP-Tests mit FiedlWdd ja wieder überschrieben wurde. Und auch ein Auszug eines Dumps zeigt es:
`bezahlt` int(11) NOT NULL DEFAULT '0',

Und aktiv getestet wurde es auch, weil ich nach dem SMTP-Update für alle 3 Mail-Einstellungen neue Nutzer angelegt hatte.

Wiimm · 29. Mai 2016

Zitat von oldie

was soll das nützen da werden nur die Tabellen aufgelistet

Nicht, da ich mich im Thema vertan habe.
Ich bin ja noch neu hier und habe mir diverse Themen angeschaut. Und diese Antwort sollte eine Hilfe für jemanden sein, der beim Datenimport Probleme hatte. Da hatte ich wohl zuviele Fenster offen.

Der Beitrag könnte daher hier gelöscht werden, auch wenn ich ihn grundsätzlich als nützlich halte.

Wiimm · 29. Mai 2016

Führe mal diese SQL-Anweisung aus und ersetze dabei DATABASE_NAME durch den richtigen Namen:

SQL

SELECT c.table_name, count(c.column_name) columns, t.table_rows rowsFROM information_schema.columns c, information_schema.tables tWHERE c.table_schema = "DATABASE_NAME" && t.table_schema = c.table_schema && t.table_name = c.table_nameGROUP BY c.table_name

Zum Vergleich: Bei meinem fast leeren Testsystem kommt dann sowas raus:

SQL

+-------------------------------+---------+------+
| table_name | columns | rows |
+-------------------------------+---------+------+
| commentation | 7 | 0 |
| commentators | 5 | 0 |
| emtipp_bonus_answers | 5 | 0 |
| emtipp_bonus_fragen | 5 | 10 |
| emtipp_bonus_punkte | 4 | 30 |
| emtipp_bonus_temp | 2 | 0 |
| emtipp_bonus_tipps | 6 | 0 |
| emtipp_comments | 8 | 0 |
| emtipp_config | 86 | 1 |
| emtipp_counter | 3 | 111 |
| emtipp_downloads | 8 | 1 |
| emtipp_ergebnisse | 8 | 0 |
| emtipp_forum_boards | 4 | 11 |
| emtipp_forum_posts | 6 | 0 |
| emtipp_forum_threads | 7 | 0 |
| emtipp_goalgetter_temp | 10 | 0 |
| emtipp_gruppen | 4 | 24 |
| emtipp_lastsearch | 4 | 0 |
| emtipp_log | 6 | 1167 |
| emtipp_meister | 4 | 0 |
| emtipp_pn | 9 | 0 |
| emtipp_rangliste_boni | 12 | 0 |
| emtipp_rangliste_boni_lst | 9 | 0 |
| emtipp_rangliste_custom | 3 | 0 |
| emtipp_rangliste_games | 8 | 0 |
| emtipp_rangliste_grp_boni | 13 | 0 |
| emtipp_rangliste_grp_boni_lst | 10 | 0 |
| emtipp_rangliste_grp_games | 9 | 0 |
| emtipp_register | 5 | 98 |
| emtipp_reminders | 6 | 28 |
| emtipp_settings | 2 | 1 |
| emtipp_shout | 6 | 1 |
| emtipp_spiele | 7 | 51 |
| emtipp_spieler | 13 | 1035 |
| emtipp_spielerstat | 7 | 0 |
| emtipp_stadien | 7 | 10 |
| emtipp_tbl_versions | 5 | 2 |
| emtipp_teams | 5 | 48 |
| emtipp_teams_history | 6 | 123 |
| emtipp_tippgruppen | 5 | 1 |
| emtipp_tipps | 6 | 37 |
| emtipp_tore | 6 | 0 |
| emtipp_users | 23 | 2 |
| emtipp_user_hashs | 6 | 1 |
| matches | 18 | 0 |
| match_cards | 6 | 0 |
| match_goals | 7 | 0 |
| match_players | 9 | 28 |
| match_substitutions | 6 | 0 |
| rugby_match_scores | 6 | 0 |
| rugby_score_types | 5 | 0 |
| teams | 5 | 26 |
| team_players | 7 | 28 |
+-------------------------------+---------+------+

Alles anzeigen

Wiimm · 29. Mai 2016

Man denkt als Lösung sofort an etwas wie:

Code

insert into emtipp_users(usr,email,pwd,name,...)select username as usr, email, password as pwd, username as name, ...from wbb4.wcf1_user

Leider wird es an der anderen Art des password-hash scheitern.

Die Lösung ist eine Login-Bridge:
Anstatt die eigene Tabelle zum Verifizieren des Kennwortes zu nutzen, wird die WBB4-Tabelle genutzt (Lesezugriff notwendig). Ist nach erfolgreicher Anmeldung der Benutzer noch nicht existent, dann muss ein entsprechender Datensatz in emtipp_users angelegt werden.

Diese Lösung hat auch den Vorteil, dass neue WBB4-User Zugang zum Tipp-Spiel erhalten. Ich habe eine solche Bridge auch schon realisiert, einmal für Mediawiki und einmal für selbst geschriebene Software. Beide greifen auf die Anmeldedaten von WBB4 zurück und haben nur Lesezugriff auf die WBB4-Tabelle .

Da ich mich in der Tipp-Software nicht auskenne, kann ich nichts dazu sagen, wie man dort die Bridge einhängt. Ich kann aber den WBB4-Part zur Verfügung stellen:

Code

function VerifyPasswordWBB4 ( $pw, $hash )
{
// Verify a password entered by the user against a WBB4 hash value.
// Only WBB3 and WBB4 style hashes are supported.
// Returns TRUE for a correct password and FALSE otherwise.
if ( substr($hash,0,5) == 'wcf1:' ) // WBB3
{
$param = explode(':',substr($hash,5)); // hash:salt
return count($param) == 2
&& sha1( $param[1] . sha1( $param[1] . sha1( $pw )) ) == $param[0];
}
return crypt( crypt($pw,$hash), $hash ) == $hash;
}
function LoginHandlerWBB4 ( $db, $tab, $user, $pw )
{
// Verify a password entered by the user against a WBB4 hash value
// stored in DB table.column 'wcf1_user.password'.
// Only WBB3 and WBB4 style hashes are supported.
// Returns an object or FALSE on error.
global $DB;
$query = "SELECT userid,username,password,banned FROM `$db`.`$tab`"
." WHERE username=\"{$DB->EscapeString($user)}\"";
$res = $DB->FetchRow($query,'stdClass');
if (!is_object($res))
return FALSE;
// return an object
$acc = (object)NULL;
$acc->user_id = $res->userid;
$acc->account = $res->username;
$acc->disabled = $res->banned > 0;
$acc->pw_ok = VerifyPasswordWBB4($pw,$res->password);
return $acc;
}
function LoginWBB4 ( $user, $pw )
{
return LoginHandlerWBB4('DATABAE_NAME','wcf1_user',$user,$pw);
}

Alles anzeigen

Natürlich muss der DB-Zugriff noch an das DB-Objekt vom Tipp-Spiel angepasst werden. Daher ist es nur eine Vorlage zur Umsetzung.

Wiimm · 28. Mai 2016

Zitat von FiedlWdd

Er kennt den Index ALL_HTTP nicht, deshalb die Abfrage ergänzen und prüfen ob der Index verfügbar ist.

Code

if (isset($_SERVER['ALL_HTTP']) && strpos(strtolower($_SERVER['ALL_HTTP']),'OperaMini') > 0) {

$mobile_browser++;

}

So, wie der code dort steht, kann man die Zeile auch gleich ganz weglassen. Denn durch das strtolower() ist die IF-Bedingung immer falsch. Ich denke, man sollte 'operamini' kleinschreiben, damit es sinnvoll wird.

Wiimm · 28. Mai 2016

Zitat von Koutzien

Aber klappt dann das Backup-Anstossen mit Cronjob noch?

Das Erstellen des Backups ist davon nicht betroffen, da es ja über einen anderen Pfad angestoßen wird. Es geht einzig und allein um das Abgreifen des Backups mit einem Browser oder Tools wie wget/lynx/curl.

Wiimm · 28. Mai 2016

Ich habe eine Sicherheitslücke im Backup-System gefunden. Ich habe auch ein Script geschrieben, welches dieses Lücke nutzt und mir innerhalb weniger Sekunden ein frisch erstelltes Backup auf meinem Rechner kopiert. Dazu muss ich noch nicht einmal angemeldet sein. Weitere Details werde ich nicht nennen. Mit dem Backup habe ich die Zugangsdaten und einen guten Ansatz für Identitätsdiebstahl, da die Kennwörter nur schwach verschlüsselt sind. Das ich auch die Tipps der anderen kenne ist eher irrelevant.

Die Entwickler wissen Bescheid und haben mich zu diesem Post aufgefordert.

Lösung 1:
Ihr müsst das Verzeichnis ./backup/ vor jeglichem Zugriff schützen. Üblicherweise reicht es, die Datei ./backup/.htaccess (also im Backup-Verzeichnis) mit der folgenden Zeile anzulegen:

Code

Order allow,deny

Losung 2:
Keine Backups aus dem System anlegen.

Wiimm · 28. Mai 2016

Als Nachtrag zum obigen Patch:

Alternativ kann man auch die Tabelle anpassen:

Code

alter table emtipp_users modify bezahlt int not NULL default 0

Wiimm · 27. Mai 2016

Es liegt daran, dass es einen Fehler wegen nicht definiertem Default-Wertes gibt. Es funktionierte daher nur wegen eines Bugs in alten MySQL-Versionen.
siehe EM Tipp 2016 - Vollversion - Problem mit der Anleitung

Wiimm · 27. Mai 2016

EM Tipp 2016 - Vollversion - Problem mit der Anleitung

Wiimm · 27. Mai 2016

Man verzeihe mir den Doppelpost, aber ich habe den Fehler gefunden. Als erstes der Patch:

Code

--- home.registrieren.php.orig 2016-05-01 15:48:12.000000000 +0200+++ home.registrieren.php 2016-05-27 16:18:14.647598917 +0200@@ -809,7 +809,7 @@ $valid_until = 0; $hash = "";- $sql = "INSERT INTO ". $CONFIG['MYSQL']['PREFIX'] ."users (usr,email,pwd,name,department,regDate,fav,gfav,isUnlocked,remarks,showflash) VALUES "+ $sql = "INSERT INTO ". $CONFIG['MYSQL']['PREFIX'] ."users (usr,email,pwd,name,department,regDate,fav,gfav,isUnlocked,remarks,showflash,bezahlt) VALUES " ."('". mysql_real_escape_string($_POST['req']['username']) ."'," ."'". mysql_real_escape_string($_POST['req']['email']) ."'," ."md5('". mysql_real_escape_string($_POST['req']['passwort']) ."'),"@@ -820,8 +820,11 @@ ."'". $_POST['opt']['geheimfavorit'] ."'," ."'". ($CONFIG['OPTIN']['MAIL'] == TRUE ? 0 : $CONFIG['NEEDACTIVATION']) ."'," ."'". mysql_real_escape_string($_POST['opt']['remarks']) ."',"- ."'". $_POST['opt']['showflash'] ."')";+ ."'". $_POST['opt']['showflash'] ."',"+ ."0)"; $result = mysql_query($sql);+#if ($result===FALSE) foreach( explode("\n",print_r($sql,true)) as $line ) error_log($line."\n");+ $newuserid = mysql_insert_id(); // Prüfeintrag in der Datenbank aktualisieren

Erläuterung:
Mit der letzten Änderung (Zeile 20), die nun wieder auskommentiert ist, habe ich mir die SQL-Anweisung im Fehlerfalle ausgeben lassen. Manuell ausgeführt gab es dann den Fehler:
* ERROR 1364 (HY000) at line 1: Field 'bezahlt' doesn't have a default value
Ältere mysql-Versionen akzeptieren solche Dinge fälschlicherweise, so dass es nur bei neueren Versionen zu Problemen führt. Ich hoffe, dass nicht noch weitere derartige Fehler enthalten sind.

Mit dem Patch wird nun auch dem Feld "bezahlt" der Standardwert "0" zugewiesen, so dass eine Registrierung nun funzt.

Nachtrag:
Alternativ kann man auch die Tabelle anpassen:

Code

alter table emtipp_users modify bezahlt int not NULL default 0

Wiimm · 27. Mai 2016

Ich helfe gerne, siehe PN.

Dann habe ich die Bestätigungsmail (double opt in) deaktiviert um den Mail-Transfer auszuschließen, Leider brachte es keine Besserung: Es werden keine Nutzer angelegt. Mir ist nur eine Änderung aufgefallen: Die Tabelle emtipp_user_hashs erhält nun keine neuen Einträge mehr, was mutmaßlich (so, wie ich den Sinn der Tabelle verstehe) auch richtig ist.

Beiträge von Wiimm

Useraccounts vom wbb4 übertragen. WM Tippspiel!

MainMenü bearbeiten

emTipp 2016 Installation klappt einfach nicht

PHP7 und emTIpp inkl lauffähiger Version - Beitrag 16

Registrierung klappt nicht

emTipp 2016 Installation klappt einfach nicht

Registrierung klappt nicht

Mobile Version

Registrierung klappt nicht

Serverdaten laden --> Version auf dem xcript-Server: LEER?

Serverdaten laden --> Version auf dem xcript-Server: LEER?

Useraccounts vom wbb4 übertragen. WM Tippspiel!

EM 2016 Fehler index.php

Sicherheitslücke durch Backup-Funktion

Sicherheitslücke durch Backup-Funktion

EM Tipp 2016 - Vollversion - Problem mit der Anleitung

Registrierung klappt nicht

User können sich nicht Registrieren

EM Tipp 2016 - Vollversion - Problem mit der Anleitung

EM Tipp 2016 - Vollversion - Problem mit der Anleitung