CT-Alarm nur bei Erstaufruf eines phpbb-fremdes Script s

[shadowrider]

Problem: einmaliger CT-Alarm bei Funtionen eines eingebundenen (phpbb-fremden) Script

um das nachzuvollziehen ist es am einfachsten, mal auf meiner Seite das Menü 'Statistik' aufzurufen, dann in dem Statistikmenü einen Unterpunkt anzuwählen

es passiert folgendes: wenn ich einen Unterpunkt in der Statistik aufrufe, schlägt der CT Alarm:

Code: Alles auswählen

/forum/statistik.php?stwc_counter=letzten100&stwc_cz=1&stwc_tpl=standard&PHPSESSID=xxxxxxxxxxxxxx

dann gehe ich im Browser zurück, nun kann ich jeden Unterpunkt anwählen ohne Alarm, bis ich den Browser schließe (ich kann auch zwischendurch andere Web-Seiten aufrufen, erst wenn der Browser geschlossen wird tritt der Alarm wirder auf)

mit dem Programmierer des Script kann ich das Problem nicht lösen, ich hoffe ihr könnt mir helfen
die gemeldete Datei hänge ich mal an

(habe natürlich bei cback gepostet, leider keine Hilfe erhalten)

[oxpus]

,Nun ja, schalte den Debug Modus ein und teste erneut.
Wie der funktioniert im MOD beschrieben und auch auf Cback.de dick und breit gepostet worden.
Daher hilft dort auch keiner so schnell

[shadowrider]

dem Log habe ich ja folgendes entnommen:

Code: Alles auswählen

define('CT_SECLEVEL', 'MEDIUM');
$ct_ignoregvar = array('');

nachdem dieses jedoch nicht half, probierte ich es mit dem Eintragen sämtlicher vorhandener Variablen

(zeile 6 und 7 waren ursprünglich nicht vorgesehen und nach den Anweisungen des Log eingefügt)

[AmigaLink]

Nimm mal PHPSESSID in die ct_ignorevar auf.
(Die ganzen anderen Variablen kannst du wieder raus nehmen.)
Deine Statistik arbeitet hier genau wie das phpBB. Dies Session wird nur beim erstem Aufruf übergeben. Bei jedem weiterem Aufruf wird sie aus dem Cookie gelesen. Und weil dann die PHPSESSID nicht mehr in der URL übergeben wird, meckert der CTracker auch nicht mehr.

[shadowrider]

hat leider nicht geholfen:

Code: Alles auswählen

define('CT_SECLEVEL', 'MEDIUM');
$ct_ignoregvar = array('PHPSESSID');

[oxpus]

Und gibt es einen neuen Debug-Eintrag?

[shadowrider]

debug-Eintrag wie bei allen Versuchen von mir - immer der selbe:

Code: Alles auswählen

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Script-Filename: /forum/statistik.php
----------------

Request-Method: GET

Possible solution:
------------------

#
#-----[ OPEN ]------------------------------------------
#
/forum/statistik.php

#
#-----[ FIND ]------------------------------------------
#
include($phpbb_root_path . 'common.'.$phpEx);

#
#-----[ BEFORE, ADD ]------------------------------------------
#
define('CT_SECLEVEL', 'MEDIUM');
$ct_ignoregvar = array('');

#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM

[oxpus]

Dann trag mal "nur"

Code: Alles auswählen

define('CT_SECLEVEL', 'LOW');

ein.
Das sollte auf jeden Fall helfen...

[shadowrider]

auch das hilft nicht - im Log kommt der gleiche Änderungshinweis (habe extra nochmal log und Cache geleert, konnte es nicht fassen)

ist vieleicht folgendes möglich:
ich habe ja den blank_page genutzt und die Statistik includiert. Die wiederum includiert ja weitere Dateien von sich (head usw.).
könnte sich der CT irren und der Fehler wird von einem von der Statistik in sich selbst includierten Dateien ausgelöst und dort muss der CT-Code rein?

[oxpus]

Du hast doch den Block in der statisics.php eingebunden, daher wird doch auch von dort der CT gesteuert.
Ansonsten wäre es ja logisch Unsinn, denn die neue Seite bindet ja erst durch das Include den CT ein.
Ausser, er schlägt bereits dann schon an und die Variablen werden ja auch bereits "vor" einem Include ausgewertet.
Also mal in die übergeordnete "blank_page" einbinden und testen...

[shadowrider]

sorry für späte Reaktion, war 2 Wo im Krankenhaus...

folgendes ist in 'blank_page' (bei mir 'statistik.php) eingebunden und bringt nichts:

Code: Alles auswählen

define('CT_SECLEVEL', 'LOW');

ich habe das definitiv in der obersten php für die Statistik drin

die statistics.php gehört zum phpbb und macht keine Probleme

[oxpus]

Dann binde das doch auch noch mal da ein, wo der Fehler ausgelöst wird.

[shadowrider]

habe das jetzt in allen php-Dateien des Statistik-Moduls direkt am Anfang eingebunden, welche in irgend einer Weise mit der Statistik angefordert werden (also header, diverse functions.. usw)

hat leider gar nicht gefruchtet

[oxpus]

Man kann es auch übertreiben...

Wie schaut denn die Integration des Statistik MODs bei Dir denn genau aus?
Wo wird was aufgerufen und was includiert?

[shadowrider]

Man kann es auch übertreiben...

nun ja, wenn man monatelang erfolglos versucht das in den Griff zu bekommen dann müssen halt Kanonen her gegen die Spatzen....

der Aufruf der Seite erfolgt über oben gepostete Datei Statistik.
Den Rest übernehmen dann die Dateien der eigentlichen Statistik wie head, index, functionen usw.
Ich wollte halt unbedingt, das die Statistik so im Board untergebracht ist, das vom Board Kopf, Fuß und Navi das ganze umgeben, um meine Besucher nicht mit totalem Wechsel des Layout zu verwirren (die meisten sind schon etwas betagter)

[oxpus]

Nun, die Integration hast Du ja bereits nicht schlecht gelöst, aber mir ist eben aufgefallen, daß PHPSESSID mitgeführt wird, welche der CT in dieser Form aber verweigert (eigentlich zu Recht). Ohne diese ID klappt die Statistik.
Also entweder diesen Eintrag (dann aber kleingeschrieben) aus der Datei ctracker/engine/ct_security.php entfernen oder besser aus der statistics.php, was sinnvoller wäre.

[shadowrider]

aus dem ct möcht ich es ungern rausnehmen, aber wo/wie in meiner statistik.php (obige) habe ich denn die PHPSESSID eingeklinkt?

[oxpus]

In den Links hatte ich es gesehen und plötzlich war es nicht mehr da und die Links funktionierten ohne Alarm.
Daher vermute ich, daß in der statistics.php dieser Parameter mit erstellt wurde, denn genau dieser ist eben der Alarm-Auslöser gewesen.

[shadowrider]

habe alle Dateien der Statistik nach PHPSESSID durchsucht, kommt nicht vor

könnte es von den includierten phpbb-Dateien kommen?

woher hast du 'statistics.php'? - so eine ist nämlich eigentlich nirgends involviert?

[oxpus]

woher hast du 'statistics.php'? - so eine ist nämlich eigentlich nirgends involviert?

Die hattest Du doch hier immer genannt und auch angehangen...

[shadowrider]

achso, die statistik.php

(ich wollte mit der Frage darauf hinaus, ob es irgend eine Datei gibt die beteiligt ist aber von mir übersehen wurde)

[oxpus]

Wie gesagt: Wenn die Statistik das erste mal aufgerufen wird, wird die PHPSESSID mit übertragen, die irgendwo mit erzeugt wird.
Ist diese nicht vorhanden, gibts auch keinen Alarm, also wäre das Script darauf hin zu überprüfen.

[AmigaLink]

Wie gesagt: Wenn die Statistik das erste mal aufgerufen wird, wird die PHPSESSID mit übertragen, die irgendwo mit erzeugt wird.
Ist diese nicht vorhanden, gibts auch keinen Alarm, also wäre das Script darauf hin zu überprüfen.

Womit ihr bei meinem Hinweis von Beitrag #4 angekommen wärt.

[shadowrider]

Womit ihr bei meinem Hinweis von Beitrag #4 angekommen wärt.

habe doch aber in Beitrag #5 geschrieben, das es nichts gebracht hatte
(oder habe ich da etwas übersehen?)

[AmigaLink]

Die Methode mit der du meinen Lösungsvorschlag umgesetzt hast, hat nicht zum erfolg geführt. Aber meine Problemanalyse (inkl. Lösungsansatz) stimmt mit der von Karsten überein.

Die Frage ist nur: Wo wird PHPSESSID erzeugt?