DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Ik ben er vandaag achter gekomen dat je voorzichtig moet zijn met het chmod commando...
Op de een of andere manier heb ik het voor mekaar gekregen om de hele directory waar mijn site in staat the chmodden naar 0. Omdat mijn ssh connectie niet eens bij de directory kan die gechmod is (ik upload naar een subdir van de gechmodde directory), en geen php werkt (de hele site is nu onzichbaar) is er geen manier voor mij om het ongedaan te maken behalve door een mailtje te sturen naar de helpdesk
Ik denk ik waarschuw maar even voor het geval er nog grotere mongolen als ik de toegang tot php hebben
Op de een of andere manier heb ik het voor mekaar gekregen om de hele directory waar mijn site in staat the chmodden naar 0. Omdat mijn ssh connectie niet eens bij de directory kan die gechmod is (ik upload naar een subdir van de gechmodde directory), en geen php werkt (de hele site is nu onzichbaar) is er geen manier voor mij om het ongedaan te maken behalve door een mailtje te sturen naar de helpdesk
Ik denk ik waarschuw maar even voor het geval er nog grotere mongolen als ik de toegang tot php hebben
@ralfie
Met je SSH-connectie moet je gewoon kunnen inloggen en de rechten weer goed zetten. Jij kunt namelijk alle bestanden en directories waarvan jij de eigenaar bent chmodden. Kun je dit niet, dan moet jouw webhoster nog eens ernstig nadenken over hun opzet
Met je SSH-connectie moet je gewoon kunnen inloggen en de rechten weer goed zetten. Jij kunt namelijk alle bestanden en directories waarvan jij de eigenaar bent chmodden. Kun je dit niet, dan moet jouw webhoster nog eens ernstig nadenken over hun opzet
Dat dus.quote:Op woensdag 7 juni 2006 14:57 schreef fokME2 het volgende:
Waarom heb je eigenlijk phpcode die je wil uitvoeren in je database staan?
Hoe laat je de updates uitvoeren? Via de webserver? Besef dan dat alle bestanden door de webserver schrijfbaar moeten zijn, en dat dit als standaardinstelling natuurlijk niet echt veilig is om een website op te laten draaien. Beter lever je zo'n updatesysteem buiten de webroot om, waarbij er goed wordt gekeken naar de rechten van de bestandenquote:Op woensdag 7 juni 2006 10:54 schreef Swetsenegger het volgende:
Versie controlle tussen website en upgrade server werkt al. Ik zit alleen met het pushen of pullen van de update files en hoe ik dat ga aanpakken.
Op- en aanmerkingen zijn welkom
Nee, de map waar ik denk dat het probleem zit is hoger als de hoogste map waar ik met SSH kan komen...Ik hoop alleen dat er iemand bij die helpdesk zit die weet wat chmodden is, anders zal het nog wel even duren voordat de site weer werktquote:Op woensdag 7 juni 2006 16:01 schreef JeRa het volgende:
@ralfie
Met je SSH-connectie moet je gewoon kunnen inloggen en de rechten weer goed zetten. Jij kunt namelijk alle bestanden en directories waarvan jij de eigenaar bent chmodden. Kun je dit niet, dan moet jouw webhoster nog eens ernstig nadenken over hun opzet
Nee de website trekt een changelog van de update server. en de php moet vervolgens bv function.php aanpassen dmv file() en fwrite endergelijke.quote:Op woensdag 7 juni 2006 16:04 schreef JeRa het volgende:
[..]
Hoe laat je de updates uitvoeren? Via de webserver? Besef dan dat alle bestanden door de webserver schrijfbaar moeten zijn, en dat dit als standaardinstelling natuurlijk niet echt veilig is om een website op te laten draaien. Beter lever je zo'n updatesysteem buiten de webroot om, waarbij er goed wordt gekeken naar de rechten van de bestanden
Hoe bedoel je buiten de webroot om?
Dus alle bestanden en directories moeten writable voor de webserver zijn. In het geval van een exploit kunnen kwaadwilligen dan dus eigen PHP-files wegschrijven?quote:Op woensdag 7 juni 2006 16:33 schreef Swetsenegger het volgende:
[..]
Nee de website trekt een changelog van de update server. en de php moet vervolgens bv function.php aanpassen dmv file() en fwrite endergelijke.
De webserver heeft meestal een webroot voor een website wat de hoogst mogelijke directory is waar een bezoeker bestanden mag opvragen. Door een updatescript buiten deze webroot via bv. SSH uit te voeren zou je mogelijke exploits al kunnen voorkomen, maar als je het via de website wilt doen is daar dus geen sprake van.quote:Hoe bedoel je buiten de webroot om?
Neuh, specifieke website bestanden moeten inderdaad writable zijn. Niet alles. Maar dat is inderdaad een risico ja...quote:Op woensdag 7 juni 2006 16:39 schreef JeRa het volgende:
[..]
Dus alle bestanden en directories moeten writable voor de webserver zijn. In het geval van een exploit kunnen kwaadwilligen dan dus eigen PHP-files wegschrijven?
Ik snap nog steeds niet hoe je buiten die webroot bestanden IN de webroot wilt updaten?quote:De webserver heeft meestal een webroot voor een website wat de hoogst mogelijke directory is waar een bezoeker bestanden mag opvragen. Door een updatescript buiten deze webroot via bv. SSH uit te voeren zou je mogelijke exploits al kunnen voorkomen, maar als je het via de website wilt doen is daar dus geen sprake van.
misschien wat extra uitleg. Het is dus de bedoeling dat de te updaten website dmv een versie check controleert of een update beschikbaar is.
Zoja, krijgt de eigenaar de mogelijkheid om 'update' te klikken.
Dat gaat verwijzen naar een pagina, bv update.php die een changelog van de centrale server moet pullen. Dit zal een xml ofzo zijn, waarmee update.php vervolgens de bestanden gaat updaten welke hieraan onderhevig zijn ( ).
Update.php heeft dus alleen 'inhoud' als er een update is. En die zal bij elke update anders zijn. De logica voor de update wil ik zoveel mogelijk op de website zelf hebben. Ik wil dus een functie 'add_menu_item' en 'add_page' maken of iets dergelijks. Indien de changelog aangeeft dat een bepaalde pagina gemaakt moet worden, zal de functie op de website die pagina aanmaken (en dus de menu verwijzing naar die pagina).
Maar als ik hier over nadenk is dat inderdaad wel vragen om exploits natuurlijk
-edit2-
Ik kan alle logica natuurlijk ook op de update server houden, welke vervolgens de geupdate bestanden dmv ssh of ftp de onderhevige server op pushed. Dat bedoel jij waarschijnlijk JeRa?
Het probleem is alleen dat elke website subtiel kan verschillen. Vandaar dat ik de update logica per website wilde schrijven en toevoegen AAN die website.
Ik kan nu nog alle kanten op (min of meer) dus alle op- en aanmerkingen zijn welkom.
[ Bericht 18% gewijzigd door Swetsenegger op 07-06-2006 17:06:43 ]
Dit is denk ik zodanig moeilijk (zeker bij meerdere websites tegelijk) dat je echt een gruwelijk goed gedocumenteerde opzet moet hebben om dit vlekkeloos voor elkaar te krijgen je moet namelijk per website weten welke bestanden wat bevatten, en waar je vanaf moet blijven om de boel niet kapot te maken.quote:Op woensdag 7 juni 2006 16:44 schreef Swetsenegger het volgende:
Het probleem is alleen dat elke website subtiel kan verschillen. Vandaar dat ik de update logica per website wilde schrijven en toevoegen AAN die website.
Daarom maak ik 'generic' files, die zijn voor elke website hetzelfde en zullen het meeste aanpassing vereissen. En daarnaast nog site specifieke files, welke dus met logica OP de website aangepast kunnen worden (de generic files is een kwestie van gewoon overschrijven en kan vanaf de update server).quote:Op woensdag 7 juni 2006 17:12 schreef JeRa het volgende:
[..]
Dit is denk ik zodanig moeilijk (zeker bij meerdere websites tegelijk) dat je echt een gruwelijk goed gedocumenteerde opzet moet hebben om dit vlekkeloos voor elkaar te krijgen je moet namelijk per website weten welke bestanden wat bevatten, en waar je vanaf moet blijven om de boel niet kapot te maken.
Het zal dus ook simpelweg niet mogelijk zijn om ALLE updates automatisch uit te rollen.
Maar ik heb nu 1 website 'life' draaien en 1 test website.
En ik merk nu vaak dat ik kleine verbeteringen heb doorgevoerd, die ik redelijk eenvoudig aan de live website kan toevoegen/doorvoeren/aanpassen maar ik dat a. vaak vergeet of b. Twee weken later eens oppak en dan bv 1 paginaatje vergeet te updaten (Ow ja... die moest ook nog)
Maar mbt de exploits, nog ideeen?
Geen, eigenlijk. Gewoon ervoor zorgen dat je geen exploits toestaat door bugvrije scripts te schrijvenquote:Op woensdag 7 juni 2006 17:21 schreef Swetsenegger het volgende:
Maar mbt de exploits, nog ideeen?
ik zit weer es vast Ik wil 2 velden selecteren, waarvan 1 een naam en 1 een getal. Nu wil ik dat uiteindelijk alle getallen bij elkaar opgeteld zijn, per naam, en gesorteerd. Dus stel ik heb 3 LeeHarveyOswalds, en 2 JeRa's, dan zou ik graag de leeftijden van al deze opgeteld willen zien, gesorteerd ophoeveelheid
group by?quote:Op woensdag 7 juni 2006 18:09 schreef LeeHarveyOswald het volgende:
ik zit weer es vast Ik wil 2 velden selecteren, waarvan 1 een naam en 1 een getal. Nu wil ik dat uiteindelijk alle getallen bij elkaar opgeteld zijn, per naam, en gesorteerd. Dus stel ik heb 3 LeeHarveyOswalds, en 2 JeRa's, dan zou ik graag de leeftijden van al deze opgeteld willen zien, gesorteerd ophoeveelheid
iets als SELECT SUM(getal),naam FROM bla GROUP BY naam
□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell
quote:Op woensdag 7 juni 2006 18:09 schreef LeeHarveyOswald het volgende:
ik zit weer es vast Ik wil 2 velden selecteren, waarvan 1 een naam en 1 een getal. Nu wil ik dat uiteindelijk alle getallen bij elkaar opgeteld zijn, per naam, en gesorteerd. Dus stel ik heb 3 LeeHarveyOswalds, en 2 JeRa's, dan zou ik graag de leeftijden van al deze opgeteld willen zien, gesorteerd ophoeveelheid
| 1 2 3 4 | FROM mensen GROUP BY naam ORDER BY COUNT(naam) ASC |
Ja preciesquote:Op woensdag 7 juni 2006 17:32 schreef JeRa het volgende:
[..]
Geen, eigenlijk. Gewoon ervoor zorgen dat je geen exploits toestaat door bugvrije scripts te schrijven
Of heb je een betere manier voor mij om dit aan te pakken?
Dus, push vanaf update server of pull vanaf website. Of nog iets anders?
Een pull vanaf de website lijkt me het beste; omdat je de administrator dan ook inzicht kunt geven in de veranderingen (en bv. een diff kunt tonen als de eigenaar wijzigingen heeft aangebracht in het script ). Bij een push gaat dat nogal geforceerd en geef je de eigenaar weinig vrijheid.quote:Op woensdag 7 juni 2006 19:16 schreef Swetsenegger het volgende:
[..]
Ja precies
Of heb je een betere manier voor mij om dit aan te pakken?
Dus, push vanaf update server of pull vanaf website. Of nog iets anders?
Je moet rekening houden met het feit dat de webserver dus de eigenaar moet zijn van de bestanden die worden gewijzigd; dus ofwel alles onder de user van de webserver scharen of ervoor zorgen dat de webserver draait onder de juiste gebruiker. Zodra je gaat updaten alle directories en files waarbij het nodig is chmodden, aanpassen en weer terug chmodden naar een staat waarbij ze niet aanpasbaar zijn. Mogelijk vóórdat je dit proces uitvoert een .htaccess wegschrijven waarmee het onmogelijk wordt om tijdens het updateproces bestanden op te vragen
Ik wilde de eigenaar inderdaad de mogelijkheid geven om een update niet uit te voeren. wat bedoel je met een diff?quote:Op woensdag 7 juni 2006 19:31 schreef JeRa het volgende:
[..]
Een pull vanaf de website lijkt me het beste; omdat je de administrator dan ook inzicht kunt geven in de veranderingen (en bv. een diff kunt tonen als de eigenaar wijzigingen heeft aangebracht in het script ). Bij een push gaat dat nogal geforceerd en geef je de eigenaar weinig vrijheid.
Je moet rekening houden met het feit dat de webserver dus de eigenaar moet zijn van de bestanden die worden gewijzigd; dus ofwel alles onder de user van de webserver scharen of ervoor zorgen dat de webserver draait onder de juiste gebruiker. Zodra je gaat updaten alle directories en files waarbij het nodig is chmodden, aanpassen en weer terug chmodden naar een staat waarbij ze niet aanpasbaar zijn. Mogelijk vóórdat je dit proces uitvoert een .htaccess wegschrijven waarmee het onmogelijk wordt om tijdens het updateproces bestanden op te vragen
je opmerkingen over chmodden en .htaccess is een hele goede inderdaad, daar had ik nog niet aan gedacht!
Als de eigenaar van een website die door jou wordt verzorgd in een gekke bui iets heeft aangepast in een bestand dat geüpdatet dient te worden, dan gaat dat niet goed natuurlijk er zijn updatesystemen (voor software weliswaar) die dan een diff (verschil) tonen tussen het oude en het nieuwe bestand, om de eigenaar een keuze voor te leggen: update niet uitvoeren, update uitvoeren en het bestand overschrijven (veiligst), of proberen de oude en de nieuwe versie te mergen. Voor dit laatste zijn wel tools te vinden die dit kunnenquote:Op woensdag 7 juni 2006 19:59 schreef Swetsenegger het volgende:
[..]
Ik wilde de eigenaar inderdaad de mogelijkheid geven om een update niet uit te voeren. wat bedoel je met een diff?
Met die .htaccess moet je oppassen trouwens; het updatescript zelf moet niet uitgesloten worden. Als er iets halverwege fout gaat zou de eigenaar niet meer bij z'n site kunnen
hoi , weer een klein beetje hulp gevraagd !
waarom werkt dit zoekscriptje niet? ik krijg een error op line 41
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 | <input type="text" name="q" /> <input type="submit" name="Submit" value="Search" /> </form> <?php // Get the search variable from URL $var = @$_GET['q'] ; $trimmed = trim($var); //trim whitespace from the stored variable // rows to return $limit=10; // check for an empty string and display a message. if ($trimmed == "") { echo "<p>Please enter a search...</p>"; exit; } // check for a search parameter if (!isset($var)) { echo "<p>We dont seem to have a search parameter!</p>"; exit; } //connect to your database ** EDIT REQUIRED HERE ** mysql_connect("localhost","root",""); //(host, username, password) //specify database ** EDIT REQUIRED HERE ** mysql_select_db("mydb") or die("Unable to select database"); //select which database we're using // Build SQL Query $query = "select * from employees where 1st_field like \"%$first%\" order by 1st_field"; // EDIT HERE and specify your table and field names for the SQL query $numresults=mysql_query($query); $numrows=mysql_num_rows($numresults); // If we have no results, offer a google search as an alternative if ($numrows == 0) { echo "<h4>Results</h4>"; echo "<p>Sorry, your search: "" . $trimmed . "" returned zero results</p>"; echo "<p><a href=\"http://www.google.com/search?q=" . $trimmed . "\" target=\"_blank\" title=\"Look up " . $trimmed . " on Google\">Click here</a> to try the search on google</p>"; } // next determine if s has been passed to script, if not use 0 if (empty($s)) { $s=0; } // get results $query .= " limit $s,$limit"; $result = mysql_query($query) or die("Couldn't execute query"); // display what the person searched for echo "<p>You searched for: "" . $var . ""</p>"; // begin to show results set echo "Results"; $count = 1 + $s ; // now you can display the results returned while ($row= mysql_fetch_array($result)) { $title = $row["1st_field"]; echo "$count.) $title" ; $count++ ; } $currPage = (($s/$limit) + 1); //break before paging echo "<br />"; // next we need to do the links to other results if ($s>=1) { // bypass PREV link if s is 0 $prevs=($s-$limit); print " <a href=\"$PHP_SELF?s=$prevs&q=$var\"><< Prev 10</a> "; } // calculate number of pages needing links $pages=intval($numrows/$limit); // $pages now contains int of pages needed unless there is a remainder from division if ($numrows%$limit) { // has remainder so add one page $pages++; } // check to see if last page if (!((($s+$limit)/$limit)==$pages) && $pages!=1) { // not last page so give NEXT link $news=$s+$limit; echo " <a href=\"$PHP_SELF?s=$news&q=$var\">Next 10 >></a>"; } $a = $s + ($limit) ; if ($a > $numrows) { $a = $numrows ; } $b = $s + 1 ; echo "<p>Showing results $b to $a of $numrows</p>"; ?> |
waarom werkt dit zoekscriptje niet? ik krijg een error op line 41
quote:Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in D:\Program Files\xampp\htdocs\sitesmeets\SITE\php\search.php on line 41
(__/)
(='.'=)
(")_(")
(='.'=)
(")_(")
En het eerste probleem alweer
Ik probeer chmod via php
safe mode staat uit, dus dat is het probleem niet.
Het enige wat ik kan bedenken is dat de eigenaar van config.php (ftp user) niet dezelfde is als de gebruiker (php script).
Dus moet ik chown gebruiken, maar daarvoor moet ik weer weten 'wie' het php script is. Hoe kom ik daar achter
Ik probeer chmod via php
| 1 |
safe mode staat uit, dus dat is het probleem niet.
Het enige wat ik kan bedenken is dat de eigenaar van config.php (ftp user) niet dezelfde is als de gebruiker (php script).
Dus moet ik chown gebruiken, maar daarvoor moet ik weer weten 'wie' het php script is. Hoe kom ik daar achter
werkt niet, dan zegt hij dit:quote:
| 1 |
(__/)
(='.'=)
(")_(")
(='.'=)
(")_(")
En wat is lijn 41 in je script?quote:Op woensdag 7 juni 2006 21:53 schreef BloodhoundFromHell het volgende:
[..]
werkt niet, dan zegt hij dit:
[ code verwijderd ]
