PHP im Textkörper - ist das nicht gefährlich?
Eingetragen von Schnittmenge@dr... (288)am 15.06.2008 - 06:22 Uhr in
Ich bin überrascht, dass ich PHP-Code im Textkörper eingeben kann. Ist das nicht eine gefährliche Sicherheitslücke?
- Anmelden oder Registrieren um Kommentare zu schreiben
Berechtigung einstellen
am 15.06.2008 - 08:39 Uhr
Das kommt ganz darauf an wie du die Beitragseinstellung einstelltst.
http://deine_seite/admin/settings/filters
... close the world, open the next ...
--
Alex Misgin
www.misgin.com
--
Hast du auch kein PHP-Filter
am 15.06.2008 - 08:39 Uhr
Hast du auch kein PHP-Filter aktiviert? Also ich hab das mal getestet und ich konnte kein php-code ausführen ohne den PHP-Filter.
----------------------------------------
Alle Angaben ohne Gewähr!!:D
http://www.tobiasbaehr.de/
Da Drupal die Sache mit dem
am 15.06.2008 - 10:42 Uhr
Da Drupal die Sache mit dem PHP-Code etwas restriktiv betrachtet sind nach der Installation von Drupal auch keinerlei PHP-Code-Funktionalitaeten verfuegbar.
Wenn Du in den Textareas PHP-Code verwenden kannst dann hast Du selbst die entsprechende Option in der Administration (Module) aktiviert.
-------------
quiptime
Nur tote Fische schwimmen mit dem Strom.
Es geht um drupalcenter.de ...
am 16.06.2008 - 03:29 Uhr
Ich bin überrascht, dass bei Drupalcenter.de die php-Codes erlaubt sind! Seht doch selbst bei bei der Erstellung eines Kommentares ist beim Eingabeformat "Filterde HTML" folgende Zeile aktiviert:
(code>... (generic) oder (?php ... ?> kann benutzt werden um Code dazustellen.
lol nein, das ist nur zur
am 16.06.2008 - 05:58 Uhr
lol nein, das ist nur zur Codedarstellung
<code>Der Button Code hat keine farbliche Hervorhebung von PHP-Code
$var='Bla'
<?php
$php;
Beim Button PHP schon
if(isset($php)){
print 'Hallo Welt';
}
?>
----------------------------------------
Alle Angaben ohne Gewähr!!:D
http://www.tobiasbaehr.de/
Hey das geht ja auch mit HTML!!!
am 16.06.2008 - 08:37 Uhr
Wieder was gelernt ;-)
Kann einfach kein PHP ausführen
am 18.06.2008 - 11:26 Uhr
Hallo,
ich komm einfach nicht weiter.... *verzweifelt*
Wenn ich das alles so lese, ist es ganz einfach PHP auszuführen... Irgendwie klappt das bei mir nicht.
PHP-Filter wurde ausgewählt...
<?php...
?>
Der Code wird nicht interpretiert, sondern angezeigt.
Jetzt dachte ich, vielleicht behindern sich irgend welche Filter gegenseitig und habe den php-Filter auf '-10' gesetzt.
Dann war ich mir nicht sicher, ob es sich wirklich um eine reine Textarea handelt und auch wirklich Plain-Text postet. Aber ich denke, das die Absatzmarkierungen per CSS realisiert wurden....
Am Pfad des PHP-Interpreters kann es ja wohl sicher nicht liegen, da das ganze CMS aus php besteht und der Code intern nur in bestehenden code eingebettet wird. Oder?
Mir fällt da nicht mehr ein..... *help*
Bin Neuling. Version 5.3 auf localhost.
Gibt sicherlich ne einfache Erklärung für Euch...
Achso, bin natürlich als Admin angemeldet....
Gruss, Jürgen
Was meinst du
am 18.06.2008 - 12:52 Uhr
Was meinst du mit:
PHP-Filter wurde ausgewählt...
Wo hast du das gemacht?
Jetzt dachte ich, vielleicht behindern sich irgend welche Filter gegenseitig und habe den php-Filter auf '-10' gesetzt.
Eindeutiger finde ich Beschreibungen wie:
unter admin/settings/filters findet sich der Filter PHP Code
unter node/add/story habe ich als Eingabeformat PHP Code gewählt
Dann lässt sich klarer nachvollziehen was du schon versucht hast...
Eigentlich sollte funktionieren:
-- Artikel erstellen
-- Eingabeformat PHP wählen
-- Im Bodyfeld eingeben:
<?phpprint "Hallo Welt";
?>
Hallo luzer, danke für die
am 18.06.2008 - 13:26 Uhr
Hallo luzer,
danke für die Belehrungen ;-)
Im Prinzip habe ich es so gemacht, wie von Dir bzw. auf anderen Seiten beschrieben.
Trotzdem wird der Code nicht interpretiert, sondern nur angezeigt
Gruss, Jürgen
Hm... wollte gar nicht so
am 18.06.2008 - 14:11 Uhr
Hm... wollte gar nicht so belehrend rüberkommen, aber jetzt wo ich es selbst nochmal gelesen habe :-)
Finde es manchmal anstrengend, mich in die Anfragenden reinzuversetzen und nachzusuchen wo hat er/sie wohl hingeklickt um beschriebene Dinge zu tun?
Na ja, zu deinem Problem:
Du benutzt nicht das Modul Code Filter ( http://drupal.org/project/codefilter ), oder?
Kein Problem ;-) Als Modul
am 18.06.2008 - 15:08 Uhr
Kein Problem ;-)
Als Modul wird nur 'Filter' unter 'Kern' (deutsche Version) verwendet.
Gruss, Jürgen
Filter reicht aus.
am 18.06.2008 - 15:31 Uhr
Ich habs grad nochmal getestet, das ganze funktioniert schon und hat zumindest bei Drupal5 nix mit Modulen zu tun die extra angeschalten werden müssen. Du kannst, wenn du Beiträge schreibst, doch ein Eingabeformat wählen. Da musst du PHP-Filter auswählen und dann kannst du über
<?php
?>
Unter Drupal6 ist es dann noch so, dass du dafür bei den optionalen Kernmodulen ein extra Modul für den PHP-filter hast, das ein- und ausgeschaltet werden kann. Wegen der Sicherheit ist es hier wieder das selbe: Kann ja nur der machen ders auch darf, also du und jeder dem du es erlaubst.
Kann er ja eben
am 18.06.2008 - 15:51 Uhr
Kann er ja eben nicht...
Genau das ist ja das Problem - der Code wird nur angezeigt + nicht ausgeführt
Alles so gemacht wie von
am 18.06.2008 - 15:54 Uhr
Alles so gemacht wie von Euch beschrieben.... Hab mich auch mal ausgeloggt, weil ich eine andere Ansicht vermutet habe. Aber auch da wird der Code schön farblich dargestellt und nicht ausgeführt. :-(
Können es globalere Einstellungen sein? .htaccess o.ä. ?
Gruss, Jürgen
Versions-Bug kann auch nicht
am 18.06.2008 - 15:55 Uhr
Versions-Bug kann auch nicht sein?
Gruss, Jürgen
PHP Code so schön farblich
am 18.06.2008 - 16:01 Uhr
Aber auch da wird der Code schön farblich dargestellt und nicht ausgeführt. :-(
Deaktiviere testhalber mal das Modul welches den PHP Code so schön farblich darstellt.
-------------
quiptime
Nur tote Fische schwimmen mit dem Strom.