| View previous topic :: View next topic |
| Author |
Message |
Knieper
l33t
Joined: 10 Nov 2005
Posts: 846
|
 Posted: Thu Mar 27, 2008 9:39 am Post subject: |
 |
|
| Code: |
$maxsize = ($_GET["maxsize"])?intval($_GET["maxsize"]):100;
|
-10 geht auch
| Code: |
$pic = "../../../".$_GET["pic"]; // Pic-Verzeichnis
|
Anfaengerfehler. Fehlendes basename() ermoeglich das Durchwandern anderer Pfade (pic=../../../etc/...).
| Quote: | | Das kann sonst 'n schönes* Theater noch mit Umlauten werden. Ich will's gar nicht ausprobieren. |
Falsche Einstellung.
| Code: | | $image_info = getImageSize($pic) ; // see EXIF for faster way |
War das nicht obsolet und wurde durch getimagesize() ersetzt?
| Code: |
...
Haufen nicht ueberpruefte Rueckgabewerte
...
|
Nicht sehr defensiv geschrieben. Ich hoffe das liegt so nicht auf Servern.
_________________
Je dümmer desto Gnome/KDE. |
|
| Back to top |
|
 |
manuels
Advocate
Joined: 22 Nov 2003
Posts: 2146
Location: Europe
|
| Posted: Thu Mar 27, 2008 11:03 am Post subject: |
|
|
| artbody wrote: |
Es ist eigentlich immer noch wie in der Bronzezeit.(Steinzeit haben wir hinter uns - fast) 
|
Aus aktullem Anlass: http://www.heise.de/newsticker/Erste-Browser-schaffen-Acid3-Test--/meldung/105589
Ich bin der Meinung optionales antialiasing fuer Bilder waere keine Bloatware. Ich denke mal, dass die Browser sowieso auf Bibliotheken aufsetzen, die die Bilder rendern (?).
Ein weiterer Bibliotheksaufruf waere kein riesen Aufwand.
Aber wo wir gerade dabei sind: Noch so eine Sache, die ich nicht verstehe.
Wieso wird beim Versenden von Dateien keine Progressbar in der Statusleiste angezeigt? Der Browser weiss doch wie gross die zu verschickenden Daten sind.
_________________
Build your own live cd with catalyst 2.0! |
|
| Back to top |
|
|
nanos
Tux's lil' helper
Joined: 22 Jun 2006
Posts: 78
|
| Posted: Thu Mar 27, 2008 11:29 am Post subject: |
|
|
| artbody wrote: |
Aber wo wir gerade dabei sind: Noch so eine Sache, die ich nicht verstehe.
Wieso wird beim Versenden von Dateien keine Progressbar in der Statusleiste angezeigt? Der Browser weiss doch wie gross die zu verschickenden Daten sind. |
Du meinst beim Upload von Dateien?
Das wäre natürlich eines der begehrtesten Features da ein Progressbar mittels php nur über Umwege realisierbar ist.
Bei Joomla 1.5 kann man mehrere Dateien über Flash raufladen, aber da ich prinzipiell gegen Flash bin, wäre mir eine Browserlösung wesentlich lieber. |
|
| Back to top |
|
|
schachti
Advocate
Joined: 28 Jul 2003
Posts: 3765
Location: Gifhorn, Germany
|
| Posted: Thu Mar 27, 2008 11:45 am Post subject: |
|
|
| manuels wrote: | | Wieso wird beim Versenden von Dateien keine Progressbar in der Statusleiste angezeigt? Der Browser weiss doch wie gross die zu verschickenden Daten sind. |
Ich vermute, weil 99,9% des Traffics vom Server zum Client gehen und die allermeisten Benutzer nur herunterladen, nicht hochladen.
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
| Back to top |
|
|
manuels
Advocate
Joined: 22 Nov 2003
Posts: 2146
Location: Europe
|
| Posted: Thu Mar 27, 2008 6:37 pm Post subject: |
|
|
| schachti wrote: | | Ich vermute, weil 99,9% des Traffics vom Server zum Client gehen und die allermeisten Benutzer nur herunterladen, nicht hochladen. |
Das schon, aber wenn mal viel Traffic in die andere Seite geht ist sowas schon _sehr_ wünschenswert.
_________________
Build your own live cd with catalyst 2.0! |
|
| Back to top |
|
|
musv
Advocate
Joined: 01 Dec 2002
Posts: 3369
Location: de
|
| Posted: Thu Mar 27, 2008 6:53 pm Post subject: |
|
|
| Knieper wrote: | | Nicht sehr defensiv geschrieben. Ich hoffe das liegt so nicht auf Servern. |
Doch liegt es 
Gründe dafür:
- Ich war an dem Tag ziemlich gefrustet und hatte da keinen Bock noch großartig zu testen.
- Ganz egal, was du an der Stelle für Pic als Parameter übergibst, es hat keine Auswirkungen, denn aus dem ganzen Script kommt ein Image raus. D.h. steckst du was anderes rein, kriegst du nur 'ne Fehlermeldung. Falls du ein Sicherheitsrisiko darin siehst, gib mir ein Beispiel, mit dem man das Script an der Stelle ausnutzen könnte. Falls es funktioniert, änder ich es.
- Es funktioniert
- Um überhaupt von diesem Script Notiz zu nehmen, mußt du schon in den Quelltext des Shops reingesehen. Über die URL siehst du die Parameter nicht.
Im Grunde genommen hast du aber recht. |
|
| Back to top |
|
|
Knieper
l33t
Joined: 10 Nov 2005
Posts: 846
|
| Posted: Fri Mar 28, 2008 9:26 am Post subject: |
|
|
| musv wrote: | | Ganz egal, was du an der Stelle für Pic als Parameter übergibst, es hat keine Auswirkungen, denn aus dem ganzen Script kommt ein Image raus. D.h. steckst du was anderes rein, kriegst du nur 'ne Fehlermeldung. |
Dh. firmeninterne Bilder, die Nacktbilder der Freundin etc. sind kein Problem? Ausserdem duerfte die Fehlermeldung mMn. nicht durchkommen (hab's nicht ausprobiert), da der Header schon ganz oben geschrieben wird. Es funktioniert auch nur unter der Annahme, dass der MIME-Typ korrekt erkannt wird - solche Annahmen sollte man nicht machen.
Anderes Bsp.: jmd. kann ueber ein genauso wenig defensives Skript in eine beliebige Datei schreiben. Durch "Zufall" schreibt er einen jpeg-Header und ploetzlich hat er mit Deinem Script eine wunderbare Ausgaberoutine fuer beliebige Dateien.
| Quote: | | Um überhaupt von diesem Script Notiz zu nehmen, mußt du schon in den Quelltext des Shops reingesehen. |
Eigentlich sollte der html-Text ausreichen, wenn ich das Bsp. richtig gelesen habe und das mache ich zu gern. 
_________________
Je dümmer desto Gnome/KDE. |
|
| Back to top |
|
|
|
Deutsches Forum (German) 
