Navigacija

Vartotojų tinkle

Prisijungusių svečių: 478
Prisijungusių narių: 0
Prisijungusių narių nėra

Registruoti nariai: 25,956
Naujausias narys: saulyzas

Naujausi straipsniai

Paskutiniai nariai

MaFetas 1 savaitė
ozzWANTED 3 savaitės
saulyzas 5 savaitės
TOMIJUS 6 savaitės
Reikalas15 savaitės
Jaunelis21 savaitės
lanis21 savaitės
And2s22 savaitės
Memento Mori27 savaitės
Quwqkibor29 savaitės
asirija33 savaitės
tomeem35 savaitės
weberiz39 savaitės
mRokass41 savaitės
kartoonas42 savaitės
grunskiz45 savaitės
Bruksnys45 savaitės
illusion45 savaitės
ordo46 savaitės
Jurgaila47 savaitės

Informacija:


OS: Unknown
Naršyklė: Nežinoma
IP: 18.220.196.68
Naujienų: 529
Straipsnių: 235
Temų: 52,588
Postų: 522,537
Postų pask. parą: 0
Shout'ų pask. parą: 0
P.S.C. pask. parą: 0
Nuorodų kataloge: 13

Lankomumo Statistika

Peržiūrų šiandien: 22

Iš viso peržiūrų: 22948724

Prisijungti

REGISTRUOTIS
Nario vardas

Slaptažodis



Pamiršai slaptažodį?
Paprašyk naujo

Aktyvuoti save

Šaukykla

Jei norite rašyti žinutes, turite prisijungti.

ozzWANTED
2024 Lap. 30 15:11:14
Taip, vis dar up šypsosi

MaFetas
2024 Lap. 13 22:11:57
hey how, geras dar veikiantis saitas?

Jaunelis
2024 Lie. 25 11:07:43
Oho vis dar veikia svetainė akinanti šypsen Šimtas metų, matau Šaukykloje nuostalgija. Smagu panaršyt po forumą ir pažiūrėt senas temas šypsosi

And2s
2024 Lie. 17 19:07:04
2008 pirmą kart čia patekau, man buvo 10m ir čia pramokau programavimo.. smagu skaityti senas žinutes, tokia nostalgija akinanti šypsen ačiū Ozz kad saugoji šitą kultūrinį reliktą šypsosi

ozzWANTED
2024 Sau. 17 01:01:00
Desperatiškus komentarus šaukykloje su accountu po mėnesio prasibuvimo, ištryniau. Pasaulis ir taip juodas. Įjungiam šviesą, prašviesės. šypsosi

Šaukyklos archyvas

Apklausa

Ar esate patenkinti lietuviško vertimo kokybe?

Taip!

Taip, bet yra ką taisyti (parašysiu komentaruose)

Ne

Norėdamas balsuoti turite prisijungti.
Archyvas
Reklama 400x60
Pridėtinių puslapių bugas
Parašė SofteriZ 2012 sausio 11 15:01:09

Bugai ir klaidosSveiki,

neseniai pastebėjau, kad visos PHP-Fusion versijos turi bugą, per kurį galima įsibrauti į mysql ir visą ją pašalinti ar nusikopijuoti.
Taigi kaip šią klaidą ištaisyti?

Atsidarome /administration/custom_pages.php
Susirandame if (isset($_POST['save'])) {
po $page_content = addslash($_POST['page_content']);
įterpiame:

if (preg_match("/config.php|$db_host|$db_pass|$db_name|$db_prefix/", $page_content)) { header('Location: '.$settings['siteurl'].''); }

po to, susirandame if (isset($_POST['preview'])) {
po $page_content = stripslash($_POST['page_content']);
įterpiame:

if (preg_match("/config.php|$db_host|$db_pass|$db_name|$db_prefix/", $page_content)) { header('Location: '.$settings['siteurl'].''); }

Štai ir viskas, jūsų PHP-Fusion tinklapis tapo truputėlį saugesniu.



29 Komentarai · 2724 Skaityta · Spausdinti
Dalintis Facebook Dalintis Twitter Dalintis Google+
Komentarai
avice 2012 sausio 11 15:01:17
Joks cia bugas ;D
Visvien mysql prisijungima bus galima istraukt:

echo "$db_host."<br>".
$db_user."<br>".
$db_pass."<br>".
$db_name;



ir tai galima padaryt su panelem/pridetiniais puslapiais.
----------------------------------
Redagavo avice 2012 Sau. 11 15:01:42
SofteriZ 2012 sausio 11 16:01:19
Pakoreguota, dabar jau tikrai neturėtų leisti išgauti mysql duomenų.
avice 2012 sausio 11 16:01:17
Per paneliu kurima vis dar galima ;D
SofteriZ 2012 sausio 11 16:01:26
Dėl panelių, galvoju kada nors parašyt straipsniuką, kaip PHP-Fusion sistemą padaryti bent 40% saugesne.
avice 2012 sausio 11 16:01:35
o ka manai apie tai:

<?php
highlight_file(BASEDIR.base64_decode("Y29uZmlnLnBocA=="));
?>




pamegink pridet i pridetinius puslapius :]
SofteriZ 2012 sausio 11 16:01:56
news.php meta, kaip ir turi būti.
avice 2012 sausio 11 16:01:39
Tai kodel manes nemeta? isidejau tuos tavo kodus po save ir prewiev $page_content = addslash($_POST['page_content']);
iGolf 2012 sausio 11 16:01:33
Prašau parodyti, bugą koks jis šypsosi
Maksas 2012 sausio 11 17:01:26
Na tikrai tvarkingai dirba,bandžiau pridėti į pridėtinius visokius kodus,iš kart permeta į pagrindinį.
avice 2012 sausio 11 17:01:13
Kaip jums veikia ? Kad ir kaip bandyciau vis gaunu duomenys ;D
Kelintai cia versijai?
Maksas 2012 sausio 11 17:01:51
Išbandžiau v7.02.04 ir Pimped-Fusion,tikrai dirba.
MaFetas 2012 sausio 11 19:01:23
Išvis kam naudot ta custom_pages, ištrini ir rami galvamerkia akį
SofteriZ 2012 sausio 11 19:01:50
Na daugeliui ta funkcija reikalinga, tad bandau ją kaip nors fix'int.
MaFetas 2012 sausio 11 19:01:35
Na taip viskas ok mldc kad daliniesi, taisai kažką.
Aš aplamai norėjau apie ta custom_pages pasakyti kad jis nereikalingas, jau geriau pačiam imt pasirašyt puslapį (su mysql ar be) ir bus rami galva šypsosi žinai bent ką esi ir kaip pasidaręs
iGolf 2012 sausio 11 20:01:45
MaFetas - tikrai tiesą sakai imi ir pasirašai, ir rami galva, bet pagalvok, apie tuos kurie nepaima ir nepasirašo, tai čia tokių pilna, kai kurie net ir nesupranta, kaip pakeisti ar dapildyti kodą, tarkim imant šitą koduką, nenustebčiau, kad koks naujokas užklaustu, neišeina padaryti, tai žinai, dėl tokių ir stengiamės padėti ir pan, Softeriz labai gerai, kad pasidalino už tai jam ir dėkoju aš šypsosi
MaFetas 2012 sausio 11 21:01:16
Čia gaunasi kad aš kažką blogo noriu pasakyt jog jis tokią naujieną pateikė akinanti šypsen akinanti šypsen aišku kad šaunuolis, jog padeda.

Aš tiesiog apie tą failą norėjau pasakyt kad jis nereikalingas šypsosi kaip penkta koją šuniui akinanti šypsen akinanti šypsen
manopassozziukas 2012 sausio 11 23:01:51
"neseniai pastebėjau" nejaugi jau tikrai neseniai ar neseniai pripazinai tai? realiai tai ji gi visiskai nesiskiria nuo tavo daryto kintamuju ir failo pervadinimu tas pats sudas tik kitoj dezutej
Kižas 2012 sausio 11 23:01:28
Kam tiek daug vargo ??? Tereikia persivadinti config.php failą į pvz.: 78ry7RjO7.php ir viskas.
SofteriZ 2012 sausio 12 13:01:37
Kižas, tada išgauni maincore.php failą, pasižiūri kaip pavadintas config failas ir išgauni jį. Problem? (trollface)
avice 2012 sausio 12 16:01:02
Nesuprantu tai kaip su tavo apsaugom jums nepraleidzia tokio kodo:
<?php
highlight_file(BASEDIR.base64_decode("Y29uZmlnLnBocA=="));
?>




Jog tikrina tik kaip paprasta teksta ir jame nera tokiu zodziu kuriuos surastu ;D
SFblogis 2012 sausio 12 17:01:08
SF, arba manuala paskaityt: http://php.net/manual/en/functio...
SFblogis 2012 sausio 12 17:01:22
Kižas, tada išgauni maincore.php failą, pasižiūri kaip pavadintas config failas ir išgauni jį. Problem? (trollface)
juokiasi puodas, kad katilas juodas juokiasi
nbanba 2012 sausio 19 16:01:55
Na čia jau daugybę metų žinomas dalykas, tačiau apsisaugoti nuo to reikėtų ne tik pridėtiniuose puslapiuose, bet ir panelėse. Taip pat yra daugybė kitų būdų kaip per pridėtinius įsibrauti. Iš vis nelabai kam reikalingi tie $db_pass uždraudimai, nes kas norės tas laisvai pasitalpins savo shell'ą per pridėtinius ar pnš., o ne vargs su tokiais dalykais.
----------------------------------
Redagavo nbanba 2012 Sau. 19 16:01:45
And2s 2012 sausio 20 21:01:14
Šitas "fixas" nei kiek neapsaugos. Galima kuri nori kintamąjį išsitraukti(dbhost,dbpass ir pan.). Pvz.:
encode_base64(db_pass) = ZGJfcGFzcw==

Į pridėtinius rašome: <?php echo ${base64_decode('ZGJfcGFzcw==')}; ?>

nežino
Rašyti komentarą
Prisijunkite, norėdami parašyti komentarą.
Reitingai
Balsuoti gali tik nariai.

Prašome prisijungti arba prisiregistruoti.

Nuostabu! Nuostabu! 100% [4 Balsų]
Labai gerai Labai gerai 0% [Nėra balsų]
Gerai Gerai 0% [Nėra balsų]
Patenkinamai Patenkinamai 0% [Nėra balsų]
Blogai Blogai 0% [Nėra balsų]