Solange du nicht Nutzereingaben ungeprüft serialisierst ist das in Ordnung.
Und mit der neuesten Version wirst du durch einen Fehler darauf hingewiesen, falls du das serialisieren von Objekten probierst.
Solange du nicht Nutzereingaben ungeprüft serialisierst ist das in Ordnung.
Und mit der neuesten Version wirst du durch einen Fehler darauf hingewiesen, falls du das serialisieren von Objekten probierst.
Wenn du keine Objekte speicherst, kannst du weiterhin deserialize() benutzen. Wenn du Objekte in der Datenbank speicherst, dann solltest du dir genau überlegen ob das überhaupt notwendig ist und nicht doch ein Array ausreicht. Wenn du tatsächlich das Objekt brauchst, kannst du deserialize() nicht mehr benutzen und musst direkt unserialize() verwenden. Dann musst du dir aber Gedanken darüber machen, ob es dadurch zu einer potentiell gefährlichen PHP Object Injection durch deine Extension kommen kann.
Alternativ kannst du auchverwenden (hat angeblich auch eine bessere Performance als serialize() und unserialize()). PHP Objekte kannst du damit aber weiterhin nicht deserialisieren, zumindest nicht direkt.
- json_encode( ... )
- json_decode( ..., true )
Geändert von Spooky (23.02.2014 um 13:36 Uhr)
Super. Vielen Dank für die Infos. Ich verwende deserialize soweit ich mich erinnere bisher nur beim Auslesen aus der Datenbank und zur Aufbereitung des Templates. Werde meinen Code aber sicherheitshalber nochmal durch gehen.
Viele Grüße,
juju
Da ich am Wochenende festgestellt habe, dass einige Themes, die auch als sql-Download angeboten werden, noch eine Version mit Sicherheitslücke haben, möchte ich an dieser Stelle dafür plädieren, diese doch bitte upzudaten. Gerade diese Komplettpakete werden ja auch gerne von Contaoneulingen genutzt und da kann ich mir voratellen, dass die nicht immer als erstes updaten...
Grüße Edgar
Dackelalarm
Mal ne Frage:
Gibt es den Erweiterungen, bei denn bekannt ist, dass diese mit den gepatchten Versionen nicht mehr laufen?
Isotope afaik
Das stimmt so nicht ganz:
- Die neuste Version von Isotope 2 läuft
- In 1.4 gibt es einen belanglosen Bug, durch deaktivieren der Fehleranzeige kann der ignoriert werden
- 0.2 etc. läuft nicht
terminal42 gmbh
Wir sind Contao Premium-Partner! Für Modulwünsche oder Programmierungen kannst du uns gerne kontaktieren.
Hilfe für Isotope eCommerce kann man auch kaufen: Isotope Circle
... nur weil es mir gerade aufgefallen ist, sollte (unter Ankündigungen) nicht die Ankündigung der jeweils aktuellsten Version jedes Zweiges gepinnt werden?
Derzeit steht die 2.11.15 ganz oben, so könnte man beim flüchtigen Lesen auf die Idee kommen, dass das die aktuellste Version sei...
Ja.
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
Hallo zusammen,
wenn der Entwickler einer Erweiterung sagt, er werde kein 3.2 kompatibles Update seiner Erweiterung rausbringen, da diese nicht auf die für die Sicherheitslücke kritische Funktion zugreift, dann ist das ziemlicher Blödsinn, da der 3.1 Core immer noch betroffen ist - oder verstehe ich da etwas falsch?
Entschuldigung für den Wurmsatz. Würde mich über Rückmeldung freuen, danke schonmal
Ja das könnte Blödsinn sein. Kommt aber auf Extension an. Und wenn du bei Contao 3.1 bleiben musst, nimm doch unseren CCA Patch.
Ich bin mal so frei ^^
https://c-c-a.org/aktuelles/sicherheitshinweise
Wie sieht es in diesem Zusammenhang eigentlich mit der neuerlichen Sicherheitslücke aus, die kürzlich gefunden wurde? Gibt es da auch eine Lösung für die 3.1.x Installationen - abgesehen vom Löschen der install.php?
Hallo tab,
wie ich hier (-> https://c-c-a.org/aktuelles/news/det...ontao-entdeckt ) schon geschrieben habe, werden wir dafür kein extra Patch-Files rausbringen. Der Aufwand steht einfach in keinem Verhältnis. Und die beschriebenen Methoden reichen da vollkommen aus.
Viele Grüße
Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
[Arbeitet bei -> Paus Design & Medien]
"I can EXPLAIN it to you, but I can't UNDERSTAND it for you."
Ok, sehe ich durch die relativ einfache Methode zur Sicherung auch als unproblematisch. Bei der letzten Lücke gab es ja keine entsprechende Möglichkeit.
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)