MyBB.de Forum
Hilfeseiten > PHP Include - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Anpassungen (https://www.mybb.de/forum/forum-47.html)
+--- Forum: Plugin-Diskussionen (https://www.mybb.de/forum/forum-38.html)
+--- Thema: Hilfeseiten > PHP Include (/thread-36318.html)

Seiten: 1 2


Hilfeseiten > PHP Include - Gerti - 13.03.2019

Hallo Community,

Vorab:
Templates und Hilfeseiten sind bekantlich in HTML-Code defniert.

Funktion:
a) in den Templates kann ich mit <?php include ("./ordner/datei.php"); ?> bestimmte Aktionen/Anzeigen definieren. Dies funktioniert fehlerfrei.

b) in den Hilfeseiten funktioniert jedoch das Aufrufen des PHP-Codes nicht. Warum? es ist doch auch nur eine HTML-Datei!

Wo müsste ich was einpflegen/definieren damit auch auf den Hilfeseiten PHP-Code verwendet werden kann?


RE: Hilfeseiten > PHP Include - itsmeJAY - 13.03.2019

Hi,

in welchen Templates funktioniert der PHP Code denn? Beispielsweise?

Grüße


RE: Hilfeseiten > PHP Include - Gerti - 13.03.2019

(13.03.2019, 15:54)itsmeJAY schrieb: In welchen Templates funktioniert der PHP Code denn? Beispielsweise?
In allen Templates via Plugin. Auf Forum-1 wird dir z.B. bei jeder Seitenaktualisierungein ein anderes Zitat angezeigt. Diese Datei rufe ich mit <?php include ("zitate.php")" ?> auf. Die Zufälligkeit der Zitate wird in der PHP-Datei durchgeführt.

Ich verstehe eh nicht warum bei MyBB die Aktivierung zum Einfügen von PHP-Code nicht Standard eingebunden und aktivierbar ist. Soll doch jeder User selbst entscheiden ob er es aktiviert oder nicht.


RE: Hilfeseiten > PHP Include - itsmeJAY - 13.03.2019

Hast du dafür ein extra Plugin installiert? welches denn?


RE: Hilfeseiten > PHP Include - StefanT - 13.03.2019

(13.03.2019, 15:20)Gerti schrieb: b) in den Hilfeseiten funktioniert jedoch das Aufrufen des PHP-Codes nicht. Warum? es ist doch auch nur eine HTML-Datei!
Nein, die Hilfeseiten werden in der Datenbank gespeichert. PHP wird nicht ausgeführt.
(13.03.2019, 16:05)Gerti schrieb: Ich verstehe eh nicht warum bei MyBB die Aktivierung zum Einfügen von PHP-Code nicht Standard eingebunden und aktivierbar ist. Soll doch jeder User selbst entscheiden ob er es aktiviert oder nicht.
PHP stellt ein Sicherheitsrisiko da und sollte daher nicht über das Admin-CP (indirekt) ausgeführt werden können. Dies betrifft gerade auch Themes, die häufig von Download-Seiten heruntergeladen und importiert werden. Stell dir vor ein böser Theme-Autor baut PHP-Code ein, der Passwörter oder andere private Daten abgreift oder sogar das Forum zerstört und bietet dieses zum Download an.


RE: Hilfeseiten > PHP Include - Gerti - 13.03.2019

(13.03.2019, 17:27)StefanT schrieb: Nein, die Hilfeseiten werden in der Datenbank gespeichert. PHP wird nicht ausgeführt.
Den von Dir geschilderten Sachstand habe ich selbst erkannt und fragte daher nach einem Lösungsweg.
(13.03.2019, 17:27)StefanT schrieb:
(13.03.2019, 16:05)Gerti schrieb: Ich verstehe eh nicht warum bei MyBB die Aktivierung zum Einfügen von PHP-Code nicht Standard eingebunden und aktivierbar ist. Soll doch jeder User selbst entscheiden ob er es aktiviert oder nicht.
PHP stellt ein Sicherheitsrisiko da und sollte daher nicht über das Admin-CP (indirekt) ausgeführt werden können. Dies betrifft gerade auch Themes, die häufig von Download-Seiten heruntergeladen und importiert werden. Stell dir vor ein böser Theme-Autor baut PHP-Code ein, der Passwörter oder andere private Daten abgreift oder sogar das Forum zerstört und bietet dieses zum Download an.
Danke für die Erläuterung. Soweit kann ich mich Deiner Ausführung anschließen. Meine Wunsch geht jedoch direkt an MyBBin welchem ich anrege dass, wie bei phpBB, man diese Entscheidung "PHP-Include erlauben JA/NEIN (Vorgabe NEIN)" (incl. kleinem Risikohinweis) dem Adminstrator überlassen sollte. Dann würde sich ein zusätzliches Plugin erübrigen. Was bitte kann daran so schwer und unverantwortlich sein ein oftmals eingesetztes Plugin standardisiert in MyBB zu implementieren? Die Aktivierungsentscheidung und die damit verbundenen Risiken (wie bei allen eingepflegten Plugins udn Änderungen des Forums) bleiben doch in allen Fällen und zu 100% beim Forenbetreiber.

(13.03.2019, 16:42)itsmeJAY schrieb: Hast du dafür ein extra Plugin installiert? welches denn?
Siehe hier, rechts Download oder direkt dieses "phptpl-2.1.7z"


RE: Hilfeseiten > PHP Include - StefanT - 13.03.2019

(13.03.2019, 20:52)Gerti schrieb: Den von Dir geschilderten Sachstand habe ich selbst erkannt und fragte daher nach einem Lösungsweg.
Ich habe nur dein "Warum?" beantwortet. Cool
(13.03.2019, 20:52)Gerti schrieb: Danke für die Erläuterung. Soweit kann ich mich Deiner Ausführung anschließen. Meine Wunsch geht jedoch direkt an MyBBin welchem ich anrege dass, wie bei phpBB, man diese Entscheidung "PHP-Include erlauben JA/NEIN (Vorgabe NEIN)" (incl. kleinem Risikohinweis) dem Adminstrator überlassen sollte. Dann würde sich ein zusätzliches Plugin erübrigen. Was bitte kann daran so schwer und unverantwortlich sein ein oftmals eingesetztes Plugin standardisiert in MyBB zu implementieren? Die Aktivierungsentscheidung und die damit verbundenen Risiken (wie bei allen eingepflegten Plugins udn Änderungen des Forums) bleiben doch in allen Fällen und zu 100% beim Forenbetreiber.
Da bin ich zwar der falsche Ansprechpartner, aber:
a) Es ist es unsinnig absichtlich eine ernste Sicherheitslücke einzubauen. Da reicht ein "kleiner Risikohinweis", der wahrscheinlich von vielen gar nicht verstanden wird, definitiv nicht aus. Frühere Diskussion zu einer Sicherheitslücke im Template-System: https://community.mybb.com/thread-66409.html
b) Das Argument, dass es doch nicht so schwer sein kann, kannst du bei praktisch jedem Plugin anwenden. Trotzdem kann nicht im Sinne der Nutzer sein jedes Feature zu integrieren, zumal das Plugin-System gerade zur einfacher Installation von Erweiterungen geschaffen worden ist.
c) Ab MyBB 1.9 wird das Template-System sowieso durch Twig ersetzt.


RE: Hilfeseiten > PHP Include - itsmeJAY - 13.03.2019

(13.03.2019, 21:46)StefanT schrieb: c) Ab MyBB 1.9 wird das Template-System sowieso durch Twig ersetzt.

wird ab 1.9 MyBB komplett auf Symfony aufgebaut?


RE: Hilfeseiten > PHP Include - StefanT - 13.03.2019

Nein, die Änderungen sind hier beschrieben: https://www.mybb.de/blog/mybb/mybb-2-0-zugunsten-von-mybb-1-9-auf-eis-gelegt/


RE: Hilfeseiten > PHP Include - itsmeJAY - 13.03.2019

danke, klingt geil! ich freu miaaa.. :-P Weiß man schon ca. wann 1.9 kommt? Im .com-Forum kommen Gerüchte mit 2020 auf?