ForenSoftware.tk - Open Source PHP Foren Script

homepage-versammlung · February 26, 2013, 2:36pm

Hallo,
ich möchte euch meine hier gehostete Webseite zu meiner ForenSoftware vorstellen: http://forensoftware.tk/.

Auf der Webseite findet man ein Support-Forum, ein Wiki und ein Newssystem.
Die Software wurde eigentlich für eine Community entwickelt, ich habe aber entschieden, dass ich das Script als Open Source anbiete.

Der Unterschied zu anderen Forensystemen liegt unter anderem darin, dass meine Software Gravatar unterstützt und so kein Avatar mehr hochgeladen werden muss, wenn schon einer bei Gravatar hochgeladen wurde. Außerdem braucht man zum Erstellen eines Designs nur CSS-Kenntnisse und alle Dateien können online bearbeitet werden.

Balmung · March 5, 2013, 4:54pm

include base64_decode('ZGVzaWduL3N5c3RlbS9tYWluLmNzcw=='); include base64_decode('aW5jL2NvbmZpZy5waHA=');

if(!isset($_SESSION[base64_decode('aWQ=')]))

<?php echo l265; ?>

<?php echo l266; ?>

<?php echo l267; ?>

<?php echo l268; ?>

usw.
Ihr macht euch damit den Code nicht sonderlich leserlich. Bei größeren Projekten ist Leserlichkeit und Strukturiertheit immer wichtiger als die Optimierung.
Richtiges Einrücken solltet ihr auch lernen.

Außerdem:

echo '<form action="topic.php?action=newpost&topicid='.mysql_real_escape_string($_GET['topicid']).'" method="post" enctype="multipart/form-data">';

mysql_real_escape_string() ist nicht für die Ausgabe in den HTML Kontext geeignet. Nutze stattdessen htmlspecialchars oder ähnliches. Ein harmloses Beispiel wo es per XSS ausgenutzt werden kann (man könnte z.b. Javascript einschleusen):

http://support.forensoftware.tk/topic.php?id="><strong%20style=font-size:30px>Hallo%20Welt</strong><div%20a="

Für sowas nutzt man in der Regel eine Versionsverwaltung (Git, Mercury, Subversion oder ähnliches).

[quote]Sicherheit?
Unser Ziel ist es, die sicherste ForenSoftware der Welt zu programmieren. Jeder, der einen Fehler oder eine Sicherheitslücke findet, kann Sie in unseren Wiki ausbessern.[/quote]
Überarbeitet das noch mal genauer

homepage-versammlung · March 13, 2013, 3:22pm

[quote=“Balmung”]

mysql_real_escape_string() ist nicht für die Ausgabe in den HTML Kontext geeignet. Nutze stattdessen htmlspecialchars oder ähnliches. Ein harmloses Beispiel wo es per XSS ausgenutzt werden kann (man könnte z.b. Javascript einschleusen):

http://support.forensoftware.tk/topic.php?id=%22%3E%3Cstrong%20style=font-size:30px%3EHallo%20Welt%3C/strong%3E%3Cdiv%20a=%22[/quote]
Es gibt jetzt ein Sicherheits-Update: http://support.forensoftware.tk/topic.php?id=7#17