| Druckbare Version des Themas
Hier klicken um das Thema im Original Format zu betrachten. |
| CMS - Der Dirigent > DeDi-Bugs > backend login nach Neuinstallation |
| Geschrieben von: malcolm_bt am 24. Jan 2007 - 20:11 |
| Hallo an alle, ich habe folgendes Problem, dass nach erfolgreicher Installation kein login zum Backend möglich ist. Also ich bekomme auch keine Fehlermeldung zurück, einfach nur das leere Loginfeld. ein paar infos am rande: DeDi v1.0.4 Apache/2.0.54 (Debian) PHP Version 4.3.10-18 mysql 4.1.11 Wir haben heut schon so ziehmlich alles ausprobiert, und soweit ich weiß gibts sogar ne DeDi installation auf den Server die auch läuft. Wenn jemand ne Idee hat was das sein könnte, immer her damit. |
| Geschrieben von: malcolm_bt am 24. Jan 2007 - 21:35 |
| ok, Grund gefunden, liegt wohl an der main.php |
| Geschrieben von: Eppi am 24. Jan 2007 - 23:30 |
| kannst du da etwas genauer werden? was ist da falsch an der main.php? gruß, paul |
| Geschrieben von: malcolm_bt am 25. Jan 2007 - 01:00 |
| nun ich versuchs: in zeile 38 mehr CODE // alle GET, POST und COOKIE wegen Globals_off parsen ignore_user_abort(true); if (!(bool) ini_get('register_globals')) import_request_variables('gp'); $cfg_dedi = '';$cfg_client =''; ist was, wass der server nicht mag, bin kein Experte auf dem Gebiet. habs mal mit dem code aus der main.php der 1.0.3 version verglichen und ersetzt, un dann ging es. mehr CODE // alle GET, POST und COOKIE wegen Globals_off parsen // $types_to_register = array('GET','COOKIE','POST','SERVER','FILES','ENV','SESSION','REQUEST'); $types_to_register = array('GET','POST','SERVER'); foreach ($types_to_register as $global_type) { $arr = @${'HTTP_'.$global_type.'_VARS'}; if (@count($arr) > 0) extract($arr, EXTR_OVERWRITE); else { $arr = @${'_'.$global_type}; if (@count($arr) > 0) extract($arr, EXTR_OVERWRITE); } } irgendwie scheint er da keine cookies zu setzten allerdings funktionieren dann sämmtliche module nicht mehr |
| Geschrieben von: hk-cons am 25. Jan 2007 - 08:52 |
| ini_get scheint auf deinem server nicht erlaubt zu sein, sicher aus dem ehrenwerten grunde, dass keiner die konfiguration auslesen kann, solltest deinen hoster mal fragen ... somit kann er die funktion import_request_variables nicht ausführen und da wohl register_globals auch auf off zu sein scheint, geht dann nix mehr ist ..... damit er die cookies behandeln kann, solltest du auch die zeile 43 durch die zeile 44 ersetzen. allerdings ist jetzt dann dein dedi dann etwas anfällig für hacker ....  |
| Geschrieben von: malcolm_bt am 25. Jan 2007 - 09:02 |
| ok, ich wer ihn mal fragen. DeDie version 1.0.3 lief problemlos auf dem server soweit ich das testen konnte, meine zerhackstückelte 1.0.4. so gar nicht. Man kann zwar alles einstellen, Templates erstellen, nur leider keine inhalte editieren. |
| Geschrieben von: hk-cons am 25. Jan 2007 - 12:47 |
| die 1.0.3. ist ja auch etwas offen, auch wenn sich die wahrscheinlichkeit des gehacktwerdens in etwa der häufigkeit eines größeren lottogewinns bewegt ..... |
| Geschrieben von: Eppi am 25. Jan 2007 - 13:36 |
| kann es sein, dass deine php-version arg alt ist? ini_get funktioniert erst ab php 4. genauere informationen, was alles benötigt wird findest du auch http://www.der-dirigent.de/de/dedi/das_projekt/systemanforderung/index.html. gruß, paul |
| Geschrieben von: malcolm_bt am 25. Jan 2007 - 17:44 |
| QUOTE (Eppi @ 25. Jan 2007 - 13:36) kann es sein, dass deine php-version arg alt ist? ini_get funktioniert erst ab php 4. genauere informationen, was alles benötigt wird findest du auch http://www.der-dirigent.de/de/dedi/das_projekt/systemanforderung/index.html. gruß, paul Nee, PHP 4.3.10 Also mein Server-Betreiber hat mir gesagt, dass was er machen müsste damit es funtioniert, würde seine Sicherheits Policy Verletzen und es ist auch deswegen schon vorgekommen dass der Server gehackt wurde. Woran es genau liegt wollt er mir noch mal detailiert mitteilen, ich werds dann weitergeben, falls Interesse besteht. |
| Geschrieben von: Eppi am 25. Jan 2007 - 18:26 |
| ja gerne. gruß, paul |
| Geschrieben von: hk-cons am 26. Jan 2007 - 09:00 |
| also malcolm .. grüß den kollegen schön von mir und sag ihm, dass die größte sicherheit vor dem gehackt werden darin besteht, keinen server zu betreiben. und wenn er funktionen unterbindet, die gerade dazu dienen, seinen server sicherer zu machen, dann ist er gelinde gesagt ein depp, und ein ein sehr großer, wenn man bedenkt, dass die informationen, die get_ini liefert auch über phpinfo() zu erhalten sind .... |
| Geschrieben von: hk-cons am 11. Feb 2007 - 16:58 |
| sooooo es ist ein php-bug, jedenfalls in der version bis einschließlich 4.4.1 auf debian. und zwar liefert ini_get('register_globals') den wert OFF, aber in BOOL-werten erscheint eine muntere 1, wo eine 0 oder ein leerer string zu erwarten ist .... die boolsche 1 erscheint auch auf bei ON. |
| Geschrieben von: Eppi am 11. Feb 2007 - 17:16 |
oha, gut zu wissen, also muß ich die zahl checken.  @malcolm_bt: würde es dann auch bei dir funktionieren? gruß, paul |
| Geschrieben von: hk-cons am 12. Feb 2007 - 10:58 |
| oder so die abfrage: mehr CODE if (strtolower(ini_get('register_globals'))=='off') import_request_variables('gpc'); |
| Geschrieben von: Eppi am 12. Feb 2007 - 14:05 |
ok, ich schieb's mal hierher damit ich's nicht vergesse  gruß, paul |
| Geschrieben von: hk-cons am 16. Feb 2007 - 04:10 |
| so neue erkenntnis, der server war gehackt,selbst eine neuinstallation einer aktuellen php-version änderte nichts. müssen also auch einige c-bibliotheken gehackt gewesen sein. nun ist der server neu aufgesetzt und es funzt |