Sodale, Update V 1.70 ist nun released.
Das Update enthällt aber so viele, teilweise grundlegende, Änderungen, dass das Update manuell eingespielt werden muss.

Die neuen Dateien sowie das SQL-File für die Datenbankänderungen sind bei mir zu erhalten.


Änderungen wurden an folgenden Dateien durchgeführt:
./
archive.php
authpic.php
common.php
index.php
rss.php
search.php

./admin/
blog_mgmt.php
categories.php
comments.php
export.php
general.php
index.php
ogin.php
menu.php
page_mgmt.php
upload.php
usr_mgmt.php

./includes/
admin_constants.php
admin_functions.php
captcha.ttf
counter.php
global_constants.php
global_functions.php
template.php

./templates/standard/
body.tpl
comment_form.tpl
err_msg.tpl
style.css
style_ie.css

./templates/standard/admin/
comment_form.tpl
comment_home.tpl
config.tpl
config_home.tpl
db_only_update.tpl
footer.tpl
get_update.tpl
index.tpl
info.tpl
pre_text.tpl
show_log.tpl
style.css
update_home.tpl

Besonders wichtig ist, dass in die config.php Datei folgendes eingetragen werden muss:

---


define("ENABLE_REGISTER_GLOBALS", FALSE); //If you are sure to want to enable register_globals change this value to true
define("ENABLE_AUTO_HTACCESS_FILE", TRUE); //If you are sure to want to disable the creation of .htaccess files in special directories for security change this value to false
define("DEBUG", FALSE); //If you want to activate the debug-mode set this value to TRUE, NOT FOR PRODUCTIVE SYSTEMS


$connect = @mysql_connect($db_host, $db_user, $db_pw);
if(!$connect){
write_db_err_log(date("d m Y, H:i")." File: ".__FILE__." Line: ".__LINE__."\r\nQuery: mysql_connect(".$db_host.", ".$db_user.", ".$db_pw.")\r\nError: ".mysql_error()."\r\n");
die("<h1>Error</h1>Couldn't connect to database. Please see database-error-log-file for more information.");
}

$select = @mysql_select_db($db_name);
if(!$select){
write_db_err_log(date("d m Y, H:i")." File: ".__FILE__." Line: ".__LINE__."\r\nQuery: mysql_select_db(".$db_name.")\r\nError: ".mysql_error()."\r\n");
die("<h1>Error</h1>Couldn't select database. Please see database-error-log-file for more information.");
}

---

Derzeit führe ich ein großes Code Review durch und bin auch schon auf div. Fehler gestoßen die natürlich schon in Behandlung sind.

Eine wichtige Lücke möchte ich aber vorraus gleich publizieren, da dieses eine schwerwiegende XSS (Cross-Site-Scripting)-Lücke eröffnet.
Bei der Kommentarfunktion wird die Benutzereingabe bei der URI nicht ausreichend geprüft wodurch beliebiger Javascriptcode ausgeführt werden kann.

Bis zum nächsten Update ist es daher zu empfehlen, die Kommentarfunktion global zu deaktivieren.
Die ist unter Kommentar Einstellungen->Neue Kommentare verbieten (global) möglich.

Wurde zugunsten von V 1.70 übersprungen!

Endlich ist ein Bug behoben, im Zusammenhang mim Sessionhandling.
Außerdem wird nun beim Anlegen neuer Benutzer überprüft, ob der Benutzername und/oder die Emailadresse schon vorhanden sind und ggf. abgelehnt.

Man kann nun über den Counter ansehn, wer im Moment aktiv ist ist und welche Seite zuletzt aufgerufen wurde. Auch wie oft einzelne Seiten aufgerufen wurden, ist nun endlich einsehbar.

Weitere Kleinigkeiten wurden verbessert und ausgebessert.

Änderungen wurden an folgenden Dateien durchgeführt:
./
index.php
common.php

./admin/
comments.php
general.php
menu.php
usr_mgmt.php

./includes/
admin_constants.php
admin_functions.php
global_functions.php

./templates/standard/admin/
comment_config.tpl
show_counter_ip_info.tpl


An der Datenbank wurden keine Änderungen durchgeführt.

Neues Update

Änderungen wurden an folgenden Dateien durchgeführt:
./
index.php

./admin/
export.php
general.php

./includes/
global_functions.php

./templates/standard/
comment_form.tpl

./templates/standard/admin/
counter_list.tpl


An der Datenbank wurden Änderungen durchgeführt.
Es wurde ein neues Feld in der Tabelle potablog_sessions hinzugefügt sowie 2 Werte aus der Konfigurationstabelle gelöscht.