Suche

[spike]

ich hab mal die usersuche in die downloads hochgeladen.
ich denek mal, das die jungs von pragma da in ruhe drüber schauen werden, und dann auch freischalten.

hoffe wir haben nicht zu viel mist gescriptet *grins
die suche basiert auf der usersuche von rubensdreams, wobei da ausser dem verweis im header NICHTS mehr orginal ist

das einzige problem das wir hatten, da die bilde rim account NICHT in der datenbank stehen sondern im ordner für die avatare liegen und dort als.foto.irgendwas.

daher ist die funktion: nur user mit bild anzeigen , erstmal deaktiviert weil das blöde ergebnisse liefert.
wenn da dann jemand noch ne idee dazu hat.. imme rher damit.

ansonsten , viel spass damit

[CanKan]

Danke spike!

Hoffe wir können das bald testen 

[Andi]

Hi

habe gerade das Modul, bzw. den Code grob durchgesehen. (nicht installiert und getestet)

• es fehlt ein Hinweis auf die zu grunde liegende Lizenz (GPL o.Ä)
• die Suchparameter gehen fast ungefiltert in die Datenbankabfrage ein. Das ist ein Sicherheitsproblem. Da dann anstatt der pragmaMx-Funktion sql_query(), die php-Funktion mysql_query() verwendet wird, greift hier nichtmal das Detection System vollständig.
• durch die fest vergebenen Farbeinstellungen im Design, sieht das auf versch. Themes bestimmt "merkwürdig" aus. Hier sollten, wenn überhaupt nötig, die Farbwerte aus dem Theme verwendet werden ($bgcolor1, $bcolor2, usw.)

Tipps zu sicherem Coden: http://www.pragmamx.org/Web_Links-op-visit-lid-277.html

[wiederalleine]

Hallo spike....

... habe mir das Modul bei Dir angesehen. Kann man es dennoch irgendwo herunterladen? Würde mich interessieren. Viele Grüße und Danke

Peter

[lemming]

kann mich meinem vorredner nur anschliessen. habe auch großes interesse an dem modul, wirklich spitze sowas "suche"  ich schon lang! gut dass ich noch nicht selbst angefangen hab

das mit dem "nur user mit bild" anzeigen wäre halt noch n absolutes muss find ich, sobald das modul freigegeben ist vom andi schau ichs mir auch mal an.

das sollte eigtl. aber hiermit machbar sein würd ich sagen...

Code Auswählen Erweitern

    # Prüfem ob ein Avatar hochgeladen wurde:
    $isAvatarUploaded = mxIsAvatarUploaded($uinfo['uname'], false, true);
    # Prüfem ob ein Avatar hochgeladen wurde:
    if (!$isAvatarUploaded['werist']) {
        $uinfo['user_avatar'] = (empty($uinfo['user_avatar']) || $uinfo['user_avatar'] == "blank.gif") ? "" : mxCreateImage(MX_PATH_AVATAR . "/" . $uinfo['user_avatar'], $uinfo['user_avatar']);
    } else {
        $uinfo['user_avatar'] = mxCreateImage(MX_PATH_MEMBERAVATAR . "/" . $isAvatarUploaded['werist']);
    }

gruß,
jörg

[lemming]

hoi spike,
sorry dass ich so neugierig bin  aber wie gedenkst du jetzt weiter vorzugehen, nach andis post? willst dus umbauen oder lässt dus einfach so wies ist?

gruß,
jörg

[spike]

so nun find ich mal wieder zeit fürs forenschaun..
sorry aber die letzten tage war stress pur.

also, zur usersuche:
wir werden uns sobald zeit ist, um die änderungen die von andi angesprochen wurden kümmern.
momentan können wirs nicht, und wir können die suche in dem sinne auch nicht supporten.
denke mal, die tage wird sich einer der programmierer dransetzen um dann die nötigen dinge zu ändern.
für uns war grad vorrangig, die änderungen am club-datenbank-modul vorzunehmen, unsewr videomodul auf flash umzustellen, und nun den mp3 downloadstore zum vernünftigen laufen zu bringen.
wenn diese änderungen zeit lassen, dann sind die feinheiten der suersuche dran.

[CanKan]

Hallo spike


hoffe hast mal bald wieder etwas zeit für die Änderungen der  Usersuche Modul. 

Hast uns das geile Modul gezeigt und wolltest mit uns teilen..... Ich schau jedentag hier rein ob es fertig ist 



mfg

CanKan   

[Diana77]

Ich auch 

[Chris007]

Hallo
wollte nur mal bekanntgeben das auch ich daran Interesse hätte.
es wird hier ja viel vom support komentiert das an vielen modulen kein Interesse besteht und sie ihre zeit sinnvoller verbringen.

Ich kann dazu nur sagen das ich ein stiller nutzer user bin der ja nicht drängeln will (habe ja auch keinen anspruch drauf) aber denke das viele module mehr benutzt werden als mann sich hier denkt.

mfg
Chris

[lemming]

hallo,
leider hat sich hier ja seit anfang des jahres nicht viel getan. deshalb würd ich das ganze gern nochmal ins rollen bringen.

@Andi besteht die möglichkeit, dass du mir das modul was als anfrage für den download bereich eingestellt wurde zukommen lässt? ich würde dann versuchen es zu überarbeiten.

@NeMeSiSX2LC du hast hier:

http://www.pragmamx.org/Forum-topic-20592-start-msg140084.html#msg140084

von 2 versionen auf deiner platte gesprochen. besteht auch hier die möglichkeit die mal anzusehen?

wär supi, damit hier mal was geht und es ne ordentliche mitgliedersuche für alle gibt.

[Andi]

Hi

@Andi besteht die möglichkeit, dass du mir das modul was als anfrage für den download bereich eingestellt wurde zukommen lässt? ich würde dann versuchen es zu überarbeiten.

Gerne, ist ja prima, wenn sich da jemand drum kümmert 
Ich schick dir das per mail. Aber bitte denk dran, vor der Weitergabe, nochmal genau abzuklären, ob es so weitergegeben werden darf. Es ist nicht ersichtlich unter welcher Lizenz, bzw. welchen bedingungen es verwendet werden darf. Das war die Downloadbeschreibung:

Die Usersuche. Grundsätzlich auf das Modul aufgebaut das von Rubensdreams stammt, aber ich glaube ausser dem im Quelltext enthaltenen Verweis ist dort NICHTS mehr orginal.
Das einzige Problem ist noch bei der suche nach: User nur mit Bild anzeigen, weil die Userbilder NICHT in der Datenbank vermerkt sind

aber denke das viele module mehr benutzt werden als mann sich hier denkt.

Keine Sorge, wir wissen, dass sehr viele verschiedene Fremdmodule auf den verschiedensten pragmaMx Installationen zum Einsatz kommen. Aber solange wir von den Usern keine Rückmeldung bekommen, welches Modul, woher, wie gut läuft und was evtl. angepasst werden muss, können wir diese Erfahrung nicht an die Allgemeinheit weitergeben.

Da ist auch viel mehr die Community gefragt. Würden die User hier ab und zu mal schreiben, was für ein tolles Modul sie gefunden und im Einsatz haben, so würde das etlichen anderen Usern weiterhelfen.
Aber nein, da kommt nix. Also bleibt meist der hinkende Verweis auf warpspeed. Hinkend deswegen, weil es dort so viel Schrott in den Downloads gibt, dass es für einen unerfahrenen User völlig unmöglich ist, die evtl. guten und brauchbaren Dinge für sich herauszupicken.


So, und wenn dann ein Modul gefunden wurde, kommen die User hier ins Forum und fragen warum es nicht läuft , was man ändern muss und warum es nicht bei uns in die Downloads aufgenommen wird....

Oki, nur mal so zum Nachdenken:
- 1.) Ein User käuft sich ein Windowsprogramm vom Hersteller xy. Er bekommt es nicht zum laufen. Wo fragt er um Hilfe? Bei Microsoft wo das Betriebssystem herkommt, oder beim Hersteller des Programms das nicht läuft?
- 2.) Ein User findet ein tolles openSource Programm für Linux. Er will es aber in Windows verwenden. Wen fragt er was er umbauen muss, dass es auch in Windows läuft? Microsoft etwa?

Hmmm, ich glaube da mach ich mal nen Extra Thread dazu auf, ist ein interessantes Thema....



Noch kurz zu den Downloads.
Wir stellen hier keine Module mehr in die Downloads von denen wir wissen, dass sie unseren Sicherheitsansprüchen nicht genügen. Also auch keine Module, die wir nicht zumindest grob durchgesehen haben. Wir werden solche Module auch nicht umbauen, anpassen oder übernehmen. Das ist nicht unsere Sache, sondern Sache des Modulschreibers! Er steht in der Verantwortung, einigermassen sicheren Code zu veröffentlichen, nicht wir.

[lemming]

ok habs erhalten, vielen dank andi!

mhm sehs mir grad an, so wies aussieht passt nicht alles auf meine installation. grad wenn man die single-kategorien geändert hat gehts nicht, was auch klar ist.

die fehlende funktion mit den bildern, benötige ich umbedingt d.h. wird nachgerüstet. wie oben schon beschrieben seh ich da auch kein problem drinnen.

naja ich mach mal und meld mich dann wieder! vorzeigbares ergebniss denk ich frühstens in 5 wochen.

[CanKan]

Super! 


So lange haben wir schon gewartet.. 5 Wochen kann man ja noch warten 


mfg

CanKan

[lemming]

folgendes hab ich gemacht:

- Auswahlfelder funktionieren jetzt (suchstring aktualisiert)
- Fotoansicht war fehlerhaft (auf aktuelles avatarmodul aktualisiert, so dass jetzt das tatsächliche profilbild gezeigt wird)
- global bgcolors statt #farben
- aufs nötigste ausgemistet (suche nach lieblingsband u.a. entfernt)
- schönerer look durch CSS borders

was ich noch machen muss:
- sicherheit in bezug auf mySQL (was andi angesprochen hat)
- haken für NUR user mit bild anzeigen

----------------------------------------

hab hier jetzt mal aufgehört, weil um nur die user mit bild anzuzeigen muss ich sql verwenden. deshalb jetzt nochmal ne frage zu den sicherheits mängeln. gibts da ne dokumentation oder wo sind die MX sql commands aufgelistet?

einfach aus mysql_query sql_query zu machen, brachte leider kein erfolg wär da um hilfestellung dankbar, weil ich das bisher recht vernachlässigt hab, es jedoch als äußerst wichtig anseh!

[CanKan]

Hallo,

wäre auch super wenn man dazu noch einen block hätte für die schnelle suche.

Es freut mich, dass es fats fertig ist. Hoffentlich hilft da jemand weiter. 


MfG

CanKan

[Andi]

Hi

lemming, schick mir das Modul mal zu.
Dann schau ich rein und zeig dir an Beispielen, was zu verbessern ist.

[lemming]

hy,
hast du das modul bekommen andi?

nur user mit bild anzeigen geht jetzt schon, leider bisher nur auf der ersten seite. der parameter geht immer wieder verloren wenn man ne seite weiter blättert...diese nächste seite geschichte ist irgendwie javascript da bin ich noch nicht ganz dahinter gekommen aber bin dran.

[lemming]

was ich noch machen muss:
1. sicherheit in bezug auf mySQL (was andi angesprochen hat)
2. haken für NUR user mit bild anzeigen

punkt 2 funktioniert jetzt auch! also eigtl. ist es jetzt voll funktionsfähig bis auf punkt 1.

werd mir warscheinlich die tage mal andere module anschauen, vllt. find ich kommentierte codestellen. denk mal von andi sollten wir hier jetzt keine hilfe mehr erwarten. nachdem vorfall da letztens auch verständlich.

[Andi]

Moin

denk mal von andi sollten wir hier jetzt keine hilfe mehr erwarten. nachdem vorfall da letztens auch verständlich.

ne ne, keine Sorge. Die Leutchen, die sich selbst aktiv um eine Weiterentwicklung bemühen, die bekommen natürlich auch weiterhin meine Hilfe.

In dem speziellen Fall habe ich es, wie so oft in letzter Zeit, einfach nur vergessen. Gut dass du nachfragst, ich gugg später mal danach....

[Andi]

So, das Script ist installiert und wurde aufgerufen. Bei eingeschaltetem Debugmodus ist die Seite erstmal voll mit Fehlermeldungen:

Notice: Undefined variable: sitename in /modules/Usersuche/index.php on line 49
Notice: Undefined index: bday_day in /modules/Usersuche/index.php on line 95
Notice: Undefined index: bday_month in /modules/Usersuche/index.php on line 106
Notice: Undefined index: user_sexus in /modules/Usersuche/index.php on line 128
Notice: Undefined index: user_sexus in /modules/Usersuche/index.php on line 130
Notice: Undefined index: user_famstatus in /modules/Usersuche/index.php on line 139
Notice: Undefined index: user_smoke in /modules/Usersuche/index.php on line 163
usw....

Notice: Undefined variable: sitename in /modules/Usersuche/index.php on line 49
$sitename ist eine globale Variable aus der config.php, sie muss in der Funktion global verfügbar sein.
also

Code Auswählen Erweitern

global $sitename; in der Funktion init() zufügen

Notice: Undefined index: bday_day in /modules/Usersuche/index.php on line 95
Notice: Undefined index: bday_month in /modules/Usersuche/index.php on line 106
Notice: Undefined index: user_sexus in /modules/Usersuche/index.php on line 128
usw....
Diese Array-Indexe sind nur vorhanden, wenn das Formular über Post abgesendet wurde und sich selbst wieder aufruft. Es müsste also vor Verwendung der Variablen-Indexe geprüft werden, ob diese überhaupt vorhanden sind. Hier eigentlich nur unschön, aber sauberes Coding ist das nicht und kann unter anderen Umständen zu schweren Sicherheitslücken führen. Das sollte man sich erst garnicht angewöhnen.
Also z.B. diese Zeile:

Code Auswählen Erweitern

<option value='0'<? if($_POST["user_sexus"] == "0") echo " selected"; ?>>nicht angegeben</option> wie folgt abändern

Code Auswählen Erweitern

<option value='0'<? if(isset($_POST["user_sexus"]) && $_POST["user_sexus"] == "0") echo " selected"; ?>>nicht angegeben</option>
Ich habe jetzt, dass es schneller geht, folgende Konstrukt in die Funktion eingabe() eingefügt:

Code Auswählen Erweitern

if(empty($_POST['uname'])) $_POST['uname'] = '';
if(empty($_POST['realname'])) $_POST['realname'] = '';
if(empty($_POST['user_from'])) $_POST['user_from'] = '';
if(empty($_POST['bday_day'])) $_POST['bday_day'] = '';
if(empty($_POST['bday_month'])) $_POST['bday_month'] = '';
if(empty($_POST['bday_year'])) $_POST['bday_year'] = '';
if(empty($_POST['user_partneralter1'])) $_POST['user_partneralter1'] = '';
if(empty($_POST['user_partneralter2'])) $_POST['user_partneralter2'] = '';
if(empty($_POST['user_sexus'])) $_POST['user_sexus'] = '';
if(empty($_POST['user_famstatus'])) $_POST['user_famstatus'] = '';
if(empty($_POST['user_heigh1'])) $_POST['user_heigh1'] = '';
if(empty($_POST['user_heigh2'])) $_POST['user_heigh2'] = '';
if(empty($_POST['user_gewicht1'])) $_POST['user_gewicht1'] = '';
if(empty($_POST['user_gewicht2'])) $_POST['user_gewicht2'] = '';
if(empty($_POST['user_haar'])) $_POST['user_haar'] = '';
if(empty($_POST['user_augen'])) $_POST['user_augen'] = '';
if(empty($_POST['user_smoke'])) $_POST['user_smoke'] = '';
if(empty($_POST['user_alkohol'])) $_POST['user_alkohol'] = '';
if(empty($_POST['user_piercing'])) $_POST['user_piercing'] = '';
if(empty($_POST['user_tatto'])) $_POST['user_tatto'] = '';
if(empty($_POST['user_sucht'])) $_POST['user_sucht'] = '';
if(empty($_POST['user_beziehung'])) $_POST['user_beziehung'] = '';
if(empty($_POST['user_partnerfigur'])) $_POST['user_partnerfigur'] = '';
if(empty($_POST['ausgabe'])) $_POST['ausgabe'] = '';Das ist Geschmacksache und ist sicher besser zu machen...


So, jetzt zur eigentlichen Suchfunktion.
Grundsätzlich sollte die Usertabelle über den User-Prefix angesprochen werden. Also in die Funktion search() folgendes hinzufügen:

Code Auswählen Erweitern

global $user_prefix; und in sämtlichen Datenbankabfragen, in denen die Usertabelle angesprochen wird den Namen der Usertabelle mit dem user_prefix anstatt dem prefix ergänzen.

Dann finden sich Konstrukte in der Art in der Suchfunktion:

Code Auswählen Erweitern

    if(!empty($_POST["uname"])){
        $sql.=" && uname LIKE '%".trim($_POST["uname"])."%'";
    }
    if(!empty($_POST["user_heigh1"])){
        $sql.=" && user_heigh > ".trim($_POST["user_heigh1"]);
    }
Der Operator && ist zwar in mysql toleriert, aber normalerweise sollte das Schlüsselwort AND verwendet werden.
Desweiteren sollten Usereingaben auf jeden Fall auf Gültigkeit überprüft werden und Sonderzeichen "escaped" werden. Bei einer Suchfunktion, in denen beliebige Strings über Formulare eingegeben werden können, ist natürlich nicht viel auf Gültigkeit zu überprüfen. Evtl. könnte man Sonderzeichen ausfiltern und die Länge beschränken. Der USername darf z.B. nur 25 Zeichen lang sein. Das ist hier jetzt aber zu komplex, um das vollständig zu behandeln.
Zum escapen der Sonderzeichen empfiehlt sich in pragmaMx die API-Funktion mxAddSlashesForSQL(). Übergabevariablen, die normalerweise nur eine Zahl enthalten dürfen, können z.B. mit intval() zwangsweise in eine Zahl umgewandelt werden.
Die oben genannten Zeilen würden dann etwa so aussehen:

Code Auswählen Erweitern

    if(!empty($_POST["uname"])){
        $sql.=" AND uname LIKE '%".trim(mxAddSlashesForSQL(substr($_POST["uname"], 0, 25)))."%'";
    }
    if(!empty($_POST["user_heigh1"])){
        $sql.=" AND user_heigh > ".intval($_POST["user_heigh1"]);
    }


Die eigentliche Datenbankabfrage, weiter unten,

Code Auswählen Erweitern

$result=mysql_query($sql);
$Anzahl=mysql_num_rows($result);
$sql=$sql." order by uname ASC limit ".$_POST["Anfangsposition"].",".$ZeilenProSeite;
$result=mysql_query($sql);

muss in pragmaMx mit der API-Funktion sql_query() erfolgen, nicht wie in dem Script mit der normalen PHP-Funktion mysql_query(). Nur so greift der volle Schutz durch das integrierte Detection System. Konsequenterweise sollten dann auch die anderen Datenbankfunktionen der pragmaMx-Datenbank-API (sql_layer.php) verwendet werden.
Auch in der Limit-Begrenzung der Datenbankabfrage lauert eine Sicherheitslücke. Die beiden Parameter Start und Anzahl für das Limit dürfen nur eine Zahl sein. Ein Hacker könnte hier durch das einschleusen von einem String die Abfrage manipulieren.

Die abgeänderten Zeilen würden dann so aussehen:

Code Auswählen Erweitern

$result=sql_query($sql);
$Anzahl=sql_num_rows($result);
$sql=$sql." order by uname ASC limit ".intval($_POST["Anfangsposition"]).",".intval($ZeilenProSeite);
$result=sql_query($sql);

Das war's erstmal grob zur Sicherheit. Ich denke da kommen jetzt sicher noch Fragen


Für jeden, der das nachvollziehen will, habe ich die unveränderte Datei hier mal angehängt.
Also nicht für den Einsatz, nur zum guggen und mitmachen!!
Deswegen habe ich den Thread jetzt auch in die Coder und Bastlerecke verschoben

[lemming]

hy  ,
ech stark! danke für die gute erklärung andi!

werd das script daheim jetzt nochmal überarbeiten und dann einsenden. zwecks providerwechsel hab ich grad kein dsl aber im normalfall bin ich ende der woche wieder online.

nochmal vielen dank für die gute gegenüberstellung der einzelnen kritischen punkte! bookmark!

[lemming]

besser spät als nie an alle die auf das modul warten. ich habs soeben Andi per email für den downloadbereich zugeschickt.

gruß,
jörg

[lemming]

sorry für doppelpost aber konnts nicht mehr editieren...hier kann man sichs mal anschauen:

http://www.party-calw.de/modules.php?name=Usersuche

[CanKan]

Hallo,

danke für das super Modul 


Wenn man User sucht und ergebnisse bekommt schaut man sich irgendein Profil. Und wenn man zurück auf die Ergebnisseite klickt ist die Seite abgelaufen. Man muss dann die Seite aktualisieren damit die Ergebnisse wieder zurückkommen. Könnte man dagegen was machen damit die Ergebnisse mit dem Zurückbutton sofort erscheinen?

Und ein kleines Usersuche Block wäre aus Super mit den Suchkriterien Username Stadt alter und suche mit dem Bild z.B. 


Danke nochmals


MfG

CanKan

[lemming]

hy,

bevor jetzt hier alle fragen wo ers her hat. ich habs ihm nur mal zum testen gegeben. bitte wartet noch, bis andi oder jemand anders es für den download bereich freigeschaltet haben.

wegen dem zurück weiß ich spontan grad nichts zu.

block ist von meiner seite aus erstmal keiner geplant.

gruß,
jörg 

[shaky84]

hey Leute,

sagt mal wann wird der Download denn jetzt freigeschaltet?
würde das script auch gern haben.

lg

[wob]

Gibt es hier schon neue Infos ? 

Gruss

[lemming]

hi wob  ,

weiß nicht ob du das hier schon gelesen hast:

http://www.pragmamx.org/Forum-topic-22506-start-msg152879.html#msg152879

mehr gibts bisher nicht. sollte das nichts mehr werden mit dem freischalten, würd ichs natürlich auch so weitergeben denn bei mir läufts ohne probleme bisher! aber ich denke bischen warten lohnt sich noch.

gruß

[wob]

Thx lemming.

Ok dann warten wir doch lieber, mal hoffen das Andi dieses die nächsten Tage schafft :-)

Gruss & Danke für deine Antwort

[baraber]

Hallo,

wie is der Stand der Dinge ? Weiss jemand was ?

Gruß

Tony

[Eudossi]

Hallo,

das Modul würde mich auch brennend interessieren. Wann wird das Modul denn freigegeben bzw. besteht die Möglichkeit das Modul vom Entwickler zu bekommen?

Grüße
Eudossi

[breakdancer]

Hallo zusammen,

ich schieb nochmal ganz lieb hoch, ist ja nun schon fast ein Monat wieder rum... 

Nur mal so, damit es nicht ganz in Vergessenheit gerät.

Liebe Grüße

Markus

[Chris007]

Ja als geduldiger User wobei 6. Monate hmm 

werde ich es mal auch hochschieben in der hoffnung mal zu erfahren was aus dem modul geworden ist.

Liebbe Grüße

Chris

[JoergK]

Hoi

Die ganze Hochschieberei bringt überhaupt nichts, solange der User lemming seine Arbeit nicht erneut in die Downloads stellt. Es liegt uns zur Zeit kein derartiger Download zur Freigabe vor.

Und damit das hier nicht wieder nen endloser "Wann kommt das Modul denn endlich?" Thread wird, mach ich an dieser Stelle den Thread zu.

Sollte das Modul erneut eingestellt und auch freigegeben werden, sind evtl. auftretende Probleme sowieso in neuen Threads zu erörtern.