[Release]Hen CMS[MySQLi]

~~.Kibito~~ · 03/10/2014, 17:11

Guten Tag,
ich habe mir mal die Zeit genommen das hen CMS:

Umzuschreiben auf die neue Mysql Klasse sprich:

Falls ihr nicht wisst warum ich das gemacht habe bitte lest euch das durch:

Falls ich etwas vergessen habe, dann schreibt es mir einfach.

Download im Anhang

~~Katzuko~~ · 03/10/2014, 17:15

Gut gemacht

Vielen Dank dafür

.Marcel' · 03/10/2014, 17:24

Hab eben drüber mal drüber geschaut, zwar nur flüchtig, aber du hast Prozedural mit OOP gemischt.
Bezogen auf die Mysqli ext. Was ich nicht so schön finde.

nybu · 03/10/2014, 17:31

Da war aber einer fleißig :3
Danke dafür!

killchill™ · 03/10/2014, 17:38

Mega nice mann thx a lot.

MityQ · 03/10/2014, 20:36

unsafe because it does not use the prepared statements

Mr. 'Avenue™ · 03/10/2014, 20:42

Was genau bringt das? :| Wäre nett, wenn es mir jemand erklärt

Dennoch Nice, danke dir. Auch wenn ich nicht weiß, wozu es dient.

.Raicon · 03/10/2014, 21:55

Finde es ja nett, dass du dir die Arbeit gemacht hast und es erneuert hast, aber
was genau für Veränderungen bringt uns das?

LG .Raicon

~Ok · 03/11/2014, 00:03

try innoDB or Xtradb

~~#SoNiice~~ · 03/11/2014, 07:58

Ein dermaßen altes 'CMS' (Ich nenn es mal so, auch wenn es definitiv das falsche Wort dafür ist) zu überarbeiten und auf einen neueren Stand zu bringen ist dämlich - Keiner aus dieser Sektion wird auch nur einmal seine PHP Version updaten, vorausgesetzt sie arbeiten mit einem v- / Dedicated-Server, von daher war die Arbeit echt banane. Und mal ganz nebenbei, jetzt wird teilweise OOP gearbeitet und teilweise nicht, das ist noch mehr banane :|

~~LIPJON~~ · 03/18/2014, 20:45

Hey i cannot understand what this says can someone translate; or it says that makes hen webpage vuln to sql injections;

Coniesan · 03/18/2014, 22:10

mysql_* as function will no longer supported by php in future, so u have to switch to mysqli_* or PDO

The only thing you have to do is:
1. delete all "mysql_fetch_object" functions (you won't need it in future anymore)
2. update all "mysql_" to "mysqli_"
3. if you have s.h. like:

Code:

mysql_query(<command>,$sqlServ)

you have to change <command> with <connection> like:

Code:

mysqli_query($sqlServ,<command>)

.... that's all... time to do: ~10min

αddι · 03/18/2014, 22:13

Quote:

Originally Posted by LIPJON

Hey i cannot understand what this says can someone translate; or it says that makes hen webpage vuln to sql injections;

It has nothing to do with sql injections.
MySQL will be depracted soon, MySQLi is the follower.
He just updated all functions for the future.

Mashkin · 03/18/2014, 22:27

Wie MityQ schon (auf englisch) sagte, liegt der eigentliche Vorteil in MySQLi und PDO_MySQL eigentlich weniger im objektorientierten Interface, sondern in den Prepared Statements.
Dabei werden Parameter nicht mehr einfach in den Query-String geschrieben (was SQL Injection durch fehlerhaftes Escaping erst ermöglicht), sondern in der Query durch Platzhalter ersetzt und komplett separat an den Server übertragen.

Vorteile:

Injection ist defacto-unmöglich wenn man alle dynamischen Parameter auf diese Weise einbaut.
Die vorbereiteten Statements (Queries mit Platzhaltern) können zwischengespeichert werden und werden unabhänhig von den Parametern "recyclet" (innerhalb der selben Verbindung).
Dies betrifft vor allem den Ausführungsplan, der bestimmt auf welche Art Daten gefunden werden sollen (Indizes, WHERE-Reihenfolge, JOIN-Reihenfolge etc.).

Abgesehen davon ist wie schon gesagt das Hen-"CMS" uralt und wie ich finde nicht mehr ganz angemessen.
Es gibt bereits Alternativen (in Arbeit), allerdings mangelt es am Willen der Community diese zu adaptieren.

.Marcel' · 03/18/2014, 22:35

Quote:

Originally Posted by Mashkin

Wie MityQ schon (auf englisch) sagte, liegt der eigentliche Vorteil in MySQLi und PDO_MySQL eigentlich weniger im objektorientierten Interface, sondern in den Prepared Statements.
Dabei werden Parameter nicht mehr einfach in den Query-String geschrieben (was SQL Injection durch fehlerhaftes Escaping erst ermöglicht), sondern in der Query durch Platzhalter ersetzt und komplett separat an den Server übertragen.

Vorteile:
Injection ist defacto-unmöglich wenn man alle dynamischen Parameter auf diese Weise einbaut.

Die vorbereiteten Statements (Queries mit Platzhaltern) können zwischengespeichert werden und werden unabhänhig von den Parametern "recyclet" (innerhalb der selben Verbindung).
Dies betrifft vor allem den Ausführungsplan, der bestimmt auf welche Art Daten gefunden werden sollen (Indizes, WHERE-Reihenfolge, JOIN-Reihenfolge etc.).

Abgesehen davon ist wie schon gesagt das Hen-"CMS" uralt und wie ich finde nicht mehr ganz angemessen.
Es gibt bereits Alternativen (in Arbeit), allerdings mangelt es am Willen der Community diese zu adaptieren.

Sehr gut erklärt, dass macht das Release, schon fast unnötig. Da die umsetzung doch sehr schlecht gemacht wurde.