kostenloser Webspace werbefrei: lima-city


Keine Bilderanzeige

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    trickdieb

    Kostenloser Webspace von trickdieb

    trickdieb hat kostenlosen Webspace.

    Ich war letztens im Urlaub und wollte nun meinen Freunden und Bekannten eine Möglichkeite geben sich diese Bilder im Netz anzuschauen.
    Soweit so gut, die 190Bilder auf den Server geladen und ein kleines Script gebastelt.
    Wenn man nun die URL http://trick-dieb.de/gewo aufruft kommt man zu der Seite.
    Ein Klick auf weiter sollte dann die Bilder nach und nach anzeigen, allerdings funktioniert das ganze nur beim ersten Bild?
    Findet jemand den Fehler?

    Die Bilder liegen alle mit Zahlen auf dem Server vor, von 1-190.

    Hier ist das Script dazu:

    echo '<div align="center">';
    if(!isset($_GET['bild'])){
        echo 'Hier k&ouml;nnen die Bilder der Gesundheitswoche 2012 in Marquardtstein angeschaut werden.';
        echo '<br /><a href="http://trick-dieb.de/gewo/index.php?bild=1"><img  src="http://trick-dieb.de/images/pfeil_r.png" alt="weiter" title="Weiter" /></a>';
    }else{
        $bildalt = $_GET['bild'];
        $bildvorher = $bildalt - 1;
        $bildneu = $bildalt + 1;
        if($bildvorher > 0){
            echo '<a href="http://trick-dieb.de/gewo/index.php?bild='.$bildvorher.'"><img src="http://trick-dieb.de/images/pfeil_l.png" alt="zur&uuml;ck" title="Zur&uuml;ck" /></a> ||| ';
        }
            echo '<a href="http://trick-dieb.de/gewo/index.php?bild='.$bildneu.'"><img src="http://trick-dieb.de/images/pfeil_r.png" alt="weiter" title="Weiter" /></a>';
    
        echo '<br /><img src="http://trick-dieb.de/gewo/img/'.$bildalt.'.jpg" alt="'.$bildalt.'" width="800" height="600"/>';
    }
    
    echo '</div>';


    Beitrag zuletzt geändert: 30.3.2012 16:20:41 von trickdieb
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Hmmm mal abgesehn das dein Script XSS anfällig ist
    http://trick-dieb.de/gewo/index.php?bild=%3Cscript%20type=%22text/javascript%22%3Ealert%28%271%27%29;%3C/script%3E

    Seh ich eigentlich keinen Fehler ;/

    Bist du dir sicher das die Dateiendung bei allen Bildern jpg ist?! Gibt es vielleicht eine Null die vor den Zahlen steht?
    Vielleicht stimmt was an der Rechtevergabe nicht so das die anderen Bilder nicht aufgerufen werden können :/

    LG DeX

    Beitrag zuletzt geändert: 30.3.2012 12:36:25 von lordcodex
  4. Autor dieses Themas

    trickdieb

    Kostenloser Webspace von trickdieb

    trickdieb hat kostenlosen Webspace.

    Die 3 Leute welche die Seite aufrufen können (wird per htaccess gesichert) können nur mit der Maus klicken, deswegen braucht es auch nichts abzusichern o.ä

    Die Datein sind alle jpg und normal durchnummeriert, keine 0 davor und auch keine Leerzeichen.
  5. Ich tipp Blind auf die Rechtevergabe...
    du kannst
    http://trick-dieb.de/gewo/1.jpg im Browser öffnen und
    http://trick-dieb.de/gewo/2.jpg gibt ein not found aus...
    also entweder was beim Hochladen schief gegangen oder irgendwas stimmt mit den Zugriffsrechten nicht!

    LG DeX

    PS: war nur nen Hinweiß mit dem XSS ;)
  6. Autor dieses Themas

    trickdieb

    Kostenloser Webspace von trickdieb

    trickdieb hat kostenlosen Webspace.

    Ich habe jetzt mal alle Rechte vergeben, trotzdem keine Besserung.
    http://i.imgur.com/oJRZW.png

    Ich werde jetzt die Bilder nochmal hochladen, schauen was dann passiert.

    EDIT: Ich habe zum testen die ersten 20 Bilder neu hochgeladen, aber ohne Verbesserung.

    Beitrag zuletzt geändert: 30.3.2012 12:52:32 von trickdieb
  7. Na dann viel Erfolg ;)

    Am Script selber sollte es eigentlich nicht liegen. könnte auch sein das was mit dem Webspace ist (vielleicht ist die Hälfte der Bilder noch im alten/neuen Datenformat oder so).
    Das wird sich mit der Zeit bestimmt legen ;)

    LG DeX
  8. s*************h

    Also die Bilder sind nach außen hin nicht erreichbar, das heißt diese sind nicht vorhanden. Es könnten nun zwei Dinge sein:

    - Du hast eine .htaccess-Datei die einen Zugriff nicht erlaubt.
    - Es hängt mit den aktuellen Problemen auf dem Webspace zusammen (schließe ich aber eher aus).

    Ich habe die Bilder mal direkt in die Adressleiste eingegeben. Bild 1 ist verfügbar die anderen nicht.

    Gruß S.Brosch
  9. Autor dieses Themas

    trickdieb

    Kostenloser Webspace von trickdieb

    trickdieb hat kostenlosen Webspace.

    Eine htaccess Datei ist noch nicht vorhanden und die Bilder liegen auch nicht hier auf dem Server.
    Mittlerweile habe ich alle Datein erneut hochgeladen, aber sie werden trotzdem nicht angezeigt.

    Sie sind aber definitiv auf dem Server vorhanden.
    Was auch merkwürdig erscheint ist die Tatsache das 1 Bild angezeigt wird, aber der Rest nicht.
    Manchmal ist Technik echt zum kotzen.
  10. s*************h

    Du kannst mal versuchen alle Index-Dateien (index.php, index.html, index.htm) aus dem Bildverzeichnis zu entfernen (nicht löschen du brauchst sie ja noch). Wenn du nun diesen Ordner über die URL besuchst sollte dir der Server alle Dateien dieses Verzeichnisses anzeigen. Wird dann auch nur die Datei 1.jpg angezeigt?

    Gruß S.Brosch
  11. Rein interressenhalber..

    lordcodex schrieb:
    Hmmm mal abgesehn das dein Script XSS anfällig ist
    http://trick-dieb.de/gewo/index.php?bild=%3Cscript%20type=%22text/javascript%22%3Ealert%28%271%27%29;%3C/script%3E
    LG DeX


    Wie konte man diessen XSS angriff entgegenwirken?
    etwa durch das filtern der GET_ variable alá
    $seite = str_replace("<", "&#60;", "$seite");
        $seite = str_replace(">", "&#62;", "$seite");
        $seite = str_replace("|", "&#124;", "$seite");
        $seite = str_replace("$", "&#36;", "$seite");
        $seite = str_replace('"', '&#34;', "$seite");
        $seite = str_replace('(', '&#x28;', "$seite");
        $seite = str_replace(')', '&#x29;', "$seite");

    ?

    Beitrag zuletzt geändert: 30.3.2012 14:53:58 von paddy-herrmy
  12. Da er eh nur Zahlen brauch, wäre eine Whitelist wohl am Sinnvollsten.
    Kommt immer auf den gebrauch an ;)
  13. lordcodex schrieb:
    Da er eh nur Zahlen brauch, wäre eine Whitelist wohl am Sinnvollsten.
    Kommt immer auf den gebrauch an ;)



    aber würde meine Variante auch gegenwirken?
    ich beutze diesse oft gegen MySQL-injection..
  14. Deine Variante macht es schwerer, aber nicht unmöglich.
    http://www.barracudalabs.com/wordpress/index.php/2009/06/05/unicode-encoding-for-bypassing-xss-filters/

    Wird hier aber langsam Off-Topic also back to the Roots ;)

    Lg DeX
  15. Autor dieses Themas

    trickdieb

    Kostenloser Webspace von trickdieb

    trickdieb hat kostenlosen Webspace.

    software-brosch schrieb:
    Du kannst mal versuchen alle Index-Dateien (index.php, index.html, index.htm) aus dem Bildverzeichnis zu entfernen (nicht löschen du brauchst sie ja noch). Wenn du nun diesen Ordner über die URL besuchst sollte dir der Server alle Dateien dieses Verzeichnisses anzeigen. Wird dann auch nur die Datei 1.jpg angezeigt?

    Gruß S.Brosch


    Weder noch, ich bekomme nur einen 403 Fehler (Forbidden) angezeigt.

    Da er eh nur Zahlen brauch, wäre eine Whitelist wohl am Sinnvollsten.
    Kommt immer auf den gebrauch an ;)

    Man könnte das auch einfach mit is_numeric überprüfen und ggf umleiten falls nicht.

    Beitrag zuletzt geändert: 30.3.2012 15:17:17 von trickdieb
  16. s*************h

    Also wenn du die Rechte für das Verzeichnis gewo so noch so konfiguriert hast wie in deinem weiter oben verlinkten Bild dann weiß ich auch nicht mehr weiter :confused:. Sind die Rechte auch auf alle Dateien übertragen? Mit FileZilla kannst du die Rechte auf Unterverzeichnisse und Dateien in diesen übertragen. Hast du das versucht?

    Komisch ist das aber wenn ich ehrlich bin schon. Würde mal probieren entweder einen neuen Ordner zu erstellen und mit diesem zu probieren oder diesen zu löschen und einfach nochmal zu erstellen.

    Ansonsten bin mit meinem Latein am Ende, außer es würde noch eine Eingebung kommen. Probier das mit dem FileZilla mal.

    Edit: Noch eine Eingebung.

    Hast du im Verzeichnis davor, also hier http://trick-dieb.de/ eine .htaccess-Datei liegen die den Zugriff eventuell verhindert. Denn es gibt auch Hoster die dadurch Verzeichnisse ohne Index-Datei schützen. Überprüf das mal und falls da eine ist kannst du deren Inhalt mal posten wenn nichts supergeheimes drinsteht oder selber analysieren.

    Gruß S.Brosch

    Beitrag zuletzt geändert: 30.3.2012 15:37:25 von software-brosch
  17. Autor dieses Themas

    trickdieb

    Kostenloser Webspace von trickdieb

    trickdieb hat kostenlosen Webspace.

    Ich habe jetzt allen Bildern die gleichen Rechte verpasst wie auch dem Ordner selber, trotzdem keine Besserung.
    Die Bilder selber habe ich jetzt mal in einen Ordner img gepackt, die Rechte wieder angepasst, trotzdem keine Änderung.

    Eine htaccess Datei habe ich im root Verzeichnis, allerdings ändert sich auch nichts wenn ich diesen einfach lösche, ohne index.php kommt der 403 Fehler,mit index.php kommt wie immer nur das erste Bild und dann ist Schluss.

    Ich denke ich werde es einfach auch ne Scheibe brennen und dann ist gut^^
  18. s*************h

    Wäre das Beste, da sich hier keine Besserung in Sicht ist. Es würde mich aber trotzdem interessieren was der Fehler ist, wobei man das wahrscheinlich nie rausbekommen wird.

    Trotzdem noch viel Erfolg und Gruß
    S.Brosch
  19. Frag doch einfach mal beim Support deines Webspace Hoster an ;)
    Wäre dennoch mal interessant woran sowas liegen kann!

    LG DeX
  20. Autor dieses Themas

    trickdieb

    Kostenloser Webspace von trickdieb

    trickdieb hat kostenlosen Webspace.

    lordcodex schrieb:
    Frag doch einfach mal beim Support deines Webspace Hoster an ;)
    Wäre dennoch mal interessant woran sowas liegen kann!

    LG DeX


    Der Support ist angeschrieben,sobald eine Antwort kommt werde ich mich an dieser Stelle nochmal melden, auch wenn ich mir schon denken kann was zurück kommt.
    Danke erstmal für die Hilfe und einen schönen Tag noch.
  21. Hiho;

    als Supporter für einige Webradios hab ich schon sehr oft die Erfahrung machen dürfen, das zwar der Dateiname im vorderen Teil des gesammten Dateinamens richtig geschrieben wurde, aber nicht die Dateiendung....

    Bei manchen macht der FTP-Client es leider nicht so, wie man es gerne haben möchte .

    Kontrolliert doch einfach nach dem Upload eurer Dateien mal den kompletten Dateinamen, denn der Webspace ist Case-Sensitiv.

    Soll die Datei z.B. 01.jpg heissen, dann muss das auch so auf dem Webspace stehen und nicht z.B. 01.JPEG oder O1.JPG

    Einfach alle Namen mit dem FTP-Client ändern.

    best wishes
    Ralf
  22. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!