]> git.mxchange.org Git - mailer.git/blobdiff - DOCS/en/SECURITY.txt
projects / mailer.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
More cleanups and small improvements (e.g. usage of wrappers).
[mailer.git] / DOCS / en / SECURITY.txt
diff --git a/DOCS/en/SECURITY.txt b/DOCS/en/SECURITY.txt
index 0c5d27118cf5a26e0ba6ecfbb089d28b3014ab6d..2aa1ea32b131c1df601b950a368684dc640a45ef 100644 (file)
--- a/DOCS/en/SECURITY.txt
+++ b/DOCS/en/SECURITY.txt
@@ -58,14 +58,14 @@ Dann gibt des den Date-Key. Dieser ist einfach das aktuelle Datum im
 amerikanischem Format. Auch hier koennen Sie das Format gerne auf deutsch
 umstellen.
 
-Diese beiden Codes stehen in der inc/config.php und koennen nach den oben
-genannten Regeln geaendert werden.
+Diese beiden Codes stehen in der inc/cache/config-local.php und koennen nach
+den oben genannten Regeln geaendert werden.
 
-Wird eine Mail bestaetigt so, erzeugt das PHP-Script mailid_top.php in Zeile 229
+Wird eine Mail bestaetigt so, erzeugt das PHP-Script mailid.php in Zeile 229
 per rand() Funktion eine Zufallszahl zwichen 0 und 99999. Diese wird beim Laden
 der Seite mit der Code-Eingabe an die URL dran gehaengt.
 
-Im Script mailid_top.php, Zeile 124 werden die beiden Codes mit dem User-Agent
+Im Script mailid.php, Zeile 124 werden die beiden Codes mit dem User-Agent
 (genaue Browserbezeichnung) und der Zufallszahl aus der URL aneinander gehaengt
 und hexdec() codiert. Aus der dann resultierenden Zahl werden so viele Stellen
 nach dem Dezimalpunkt extrahiert, wie viel Sie im Admin-Bereich eingestellt
@@ -94,7 +94,7 @@ weiterhin ein Schutzmechanimus.
 Es ist also weder moeglich, sich mit gleicher E-Mail-Adresse, noch innerhalb
 einer einstellbaren Zeitspanne mit unterschiedlichen E-Mail-Adressen anzumelden.
 
-Beide Barrieren koennen Sie im Admin-Bereich veraendern, die Standart-
+Beide Barrieren koennen Sie im Admin-Bereich veraendern, die Standard-
 Einstellung ist mit einigen Webmastern abgeklaert und sollte sicher genug sein.
 
 3. Modul-Sicherheit
@@ -107,7 +107,7 @@ entschieden. Die Idee, Include-Dateien so abzusichern habe ich aber dennoch von
 PHP-Nuke uebernommen.
 
 Diese Sicherheitsbarriere ist fuer den normalen Besucher nicht sichtbar. Erst
-wenn er versucht, Include-Dateien direkt aufzurufen (inc/config.php
+wenn er versucht, Include-Dateien direkt aufzurufen (inc/cache/config-local.php
 beispielsweise), so wird eine rote Warnseite angezeigt und der Ablauf des
 Scriptes "stirbt".
 
@@ -122,7 +122,7 @@ Bis zur Version 0.2.0-pre10 mit Patch-Level 485 und aelter war es fuer einen
 entfernten Angreifer theoretisch moeglich, SQL-Befehle einzuschleusen und auch
 Attacken auf die Variable $PHP_SELF durchzufueheren. Seit Patch 486 und 487
 (laden Sie sich am Besten immer die aktuellsten Patches herunter!) sind nun
-entsprechende Zeilen aus der inc/db/lib-mysql3.php (Funktion SQL_QUERY_ESC)
+entsprechende Zeilen aus der inc/db/lib-mysql.php (Funktion sqlQueryEscaped)
 entfernt sollten nicht mehr angreifbar sein. Der generierten SQL-Befehl wurde
 vor der Ausfuehrung nochmals "uebersetzt", also alle sicherheitsgefaehrdenen
 Zeichen wieder eingebaut. Zudem existiert im Script
Mailer-Project repository