Navigacija

-> Namai
-> DUK
-> Straipsniai
-> Siuntimai
-> Modai šiame saite
-> D.U.K. Informacija
-> Hostingai
-> Domenai
-> ! Pagrindinės temos !
-> Forumas
-> PAIEŠKA !
-> Nuorodų katalogas
-> Naujienų kategorijos
-> Didž. Php-F saitai
-> Siųstis PHP-Fusion
-> Siųstis v7 lietuvybę
-> Naudotojo vadovas v7
-> V6 ir V7 galimybių palyginimas
-> DEMO
-> LT Pagrindinis
-> LT Modai
-> Reklama
-> Mano ekstros
-> VIP hostingas
-> VIP el. paštas
-> Pask. komentarai
-> Skriptų biblioteka
-> Administracija

Vartotojų tinkle

Prisijungusių svečių: 24
Prisijungusių narių: 2
Prisijungę nariai: MaFetas, Zwimba

Registruoti nariai: 20,697
Naujausias narys: stmlx

Facebook

Naujausi straipsniai

Įprasti:
-> Kalendorius
-> PHP-FUSION V7 Tinkla...
-> SEO Friendly URL
-> CHMOD atlikimas (Vis...
-> Komentarai profilyje

Skirti naujokams:
-> Mano profilis įdėjim...
-> Php-Fusion V7.02.03 ...
-> Keletas pamokėlių pi...

Paskutiniai nariai

ZwimbaNaršo
MaFetasNaršo
Majakas00:23:19
Andrius_DC00:36:29
tomukzzz00:40:03
Gazuots00:54:43
Hs01:07:28
EdjUxaS01:09:58
Promo01:19:14
RaiShteliS01:28:50
Penac02:17:07
etg02:27:05
skillo02:52:08
gintulis03:08:21
Arvydas03:16:00
AivarasZs03:27:31
ewl03:28:36
Enlorner03:44:23
minimukas08:00:56
.DeXter09:08:57

Informacija:


OS: Unknown
Naršyklė: Nežinoma
IP: 38.107.179.234
Naujienų: 478
Straipsnių: 231
Temų: 46,118
Postų: 499,944
Postų pask. parą: 71
Shout'ų pask. parą: 19
P.S.C. pask. parą: 91
Nuorodų kataloge: 2

Hey.lt lankomumo statistika

Prisijungti

Nario vardas

Slaptažodis



Dar ne narys?
Registruokis

Pamiršai slaptažodį?
Paprašyk naujo
Aktyvuoti save

Šaukykla

Jei norite rašyti žinutes, turite prisijungti.

-> EdjUxaS
2012/05/18 08:55
Sveiki. Grįžtu į phpfusion po pusės metų pertraukos. Kas naujo?

-> tomukzzz
2012/05/17 22:52
Sveiki, ar tik man ta naujausia php f versija neisiraso meto: Servise Unavaible ar tik man? Ka daryt? schmod geras

-> iGolf
2012/05/17 22:47
Kaip čia taip botas bazarina? nežino

-> equals
2012/05/17 22:44
xD

-> Portalo Robotas
2012/05/17 22:07
Pisu viska kas juda. Jei nejuda - pajudinu.

-> Šaukyklos archyvas ->

Apklausa

Daugiausiai pagalbos sulaukiate iš?

Administratorių

Narių

Pagalbos nesulaukiu

Pagalbos neprašau

Norėdamas balsuoti turite prisijungti.
Archyvas
Reklama 400x60
Pridėtinių puslapių bugas
Parašė SofteriZ 2012 sausio 11 15:40:09
Bugai ir klaidosSveiki,

neseniai pastebėjau, kad visos PHP-Fusion versijos turi bugą, per kurį galima įsibrauti į mysql ir visą ją pašalinti ar nusikopijuoti.
Taigi kaip šią klaidą ištaisyti?

Atsidarome /administration/custom_pages.php
Susirandame if (isset($_POST['save'])) {
po $page_content = addslash($_POST['page_content']);
įterpiame:

if (preg_match("/config.php|$db_host|$db_pass|$db_name|$db_prefix/", $page_content)) { header('Location: '.$settings['siteurl'].''); }

po to, susirandame if (isset($_POST['preview'])) {
po $page_content = stripslash($_POST['page_content']);
įterpiame:

if (preg_match("/config.php|$db_host|$db_pass|$db_name|$db_prefix/", $page_content)) { header('Location: '.$settings['siteurl'].''); }

Štai ir viskas, jūsų PHP-Fusion tinklapis tapo truputėlį saugesniu.


29 Komentarai · 474 Skaityta · Spausdinti
Komentarai
avice 2012 sausio 11 15:58:17
Joks cia bugas ;D
Visvien mysql prisijungima bus galima istraukt:

echo "$db_host."<br>".
$db_user."<br>".
$db_pass."<br>".
$db_name;



ir tai galima padaryt su panelem/pridetiniais puslapiais.
----------------------------------
Redagavo avice 2012-01-11 15:58
SofteriZ 2012 sausio 11 16:11:19
Pakoreguota, dabar jau tikrai neturėtų leisti išgauti mysql duomenų.
avice 2012 sausio 11 16:12:17
Per paneliu kurima vis dar galima ;D
SofteriZ 2012 sausio 11 16:14:26
Dėl panelių, galvoju kada nors parašyt straipsniuką, kaip PHP-Fusion sistemą padaryti bent 40% saugesne.
avice 2012 sausio 11 16:21:35
o ka manai apie tai:

<?php
highlight_file(BASEDIR.base64_decode("Y29uZmlnLnBocA=="));
?>




pamegink pridet i pridetinius puslapius :]
SofteriZ 2012 sausio 11 16:24:56
news.php meta, kaip ir turi būti.
avice 2012 sausio 11 16:32:39
Tai kodel manes nemeta? isidejau tuos tavo kodus po save ir prewiev $page_content = addslash($_POST['page_content']);
iGolf 2012 sausio 11 16:41:33
Prašau parodyti, bugą koks jis šypsosi
Maksas 2012 sausio 11 17:13:26
Na tikrai tvarkingai dirba,bandžiau pridėti į pridėtinius visokius kodus,iš kart permeta į pagrindinį.
avice 2012 sausio 11 17:24:13
Kaip jums veikia ? Kad ir kaip bandyciau vis gaunu duomenys ;D
Kelintai cia versijai?
Maksas 2012 sausio 11 17:37:51
Išbandžiau v7.02.04 ir Pimped-Fusion,tikrai dirba.
MaFetas 2012 sausio 11 19:05:23
Išvis kam naudot ta custom_pages, ištrini ir rami galvamerkia akį
SofteriZ 2012 sausio 11 19:08:50
Na daugeliui ta funkcija reikalinga, tad bandau ją kaip nors fix'int.
MaFetas 2012 sausio 11 19:45:35
Na taip viskas ok mldc kad daliniesi, taisai kažką.
Aš aplamai norėjau apie ta custom_pages pasakyti kad jis nereikalingas, jau geriau pačiam imt pasirašyt puslapį (su mysql ar be) ir bus rami galva šypsosi žinai bent ką esi ir kaip pasidaręs
iGolf 2012 sausio 11 20:45:45
MaFetas - tikrai tiesą sakai imi ir pasirašai, ir rami galva, bet pagalvok, apie tuos kurie nepaima ir nepasirašo, tai čia tokių pilna, kai kurie net ir nesupranta, kaip pakeisti ar dapildyti kodą, tarkim imant šitą koduką, nenustebčiau, kad koks naujokas užklaustu, neišeina padaryti, tai žinai, dėl tokių ir stengiamės padėti ir pan, Softeriz labai gerai, kad pasidalino už tai jam ir dėkoju aš šypsosi
MaFetas 2012 sausio 11 21:33:16
Čia gaunasi kad aš kažką blogo noriu pasakyt jog jis tokią naujieną pateikė akinanti šypsen akinanti šypsen aišku kad šaunuolis, jog padeda.

Aš tiesiog apie tą failą norėjau pasakyt kad jis nereikalingas šypsosi kaip penkta koją šuniui akinanti šypsen akinanti šypsen
manopassozziukas 2012 sausio 11 23:10:51
"neseniai pastebėjau" nejaugi jau tikrai neseniai ar neseniai pripazinai tai? realiai tai ji gi visiskai nesiskiria nuo tavo daryto kintamuju ir failo pervadinimu tas pats sudas tik kitoj dezutej
Kižas 2012 sausio 11 23:49:28
Kam tiek daug vargo ??? Tereikia persivadinti config.php failą į pvz.: 78ry7RjO7.php ir viskas.
SofteriZ 2012 sausio 12 13:59:37
Kižas, tada išgauni maincore.php failą, pasižiūri kaip pavadintas config failas ir išgauni jį. Problem? (trollface)
avice 2012 sausio 12 16:08:02
Nesuprantu tai kaip su tavo apsaugom jums nepraleidzia tokio kodo:
<?php
highlight_file(BASEDIR.base64_decode("Y29uZmlnLnBocA=="));
?>




Jog tikrina tik kaip paprasta teksta ir jame nera tokiu zodziu kuriuos surastu ;D
SFblogis 2012 sausio 12 17:12:08
SF, arba manuala paskaityt: http://php.net/manual/en/functio...
SFblogis 2012 sausio 12 17:13:22
Kižas, tada išgauni maincore.php failą, pasižiūri kaip pavadintas config failas ir išgauni jį. Problem? (trollface)
juokiasi puodas, kad katilas juodas juokiasi
nbanba 2012 sausio 19 16:41:55
Na čia jau daugybę metų žinomas dalykas, tačiau apsisaugoti nuo to reikėtų ne tik pridėtiniuose puslapiuose, bet ir panelėse. Taip pat yra daugybė kitų būdų kaip per pridėtinius įsibrauti. Iš vis nelabai kam reikalingi tie $db_pass uždraudimai, nes kas norės tas laisvai pasitalpins savo shell'ą per pridėtinius ar pnš., o ne vargs su tokiais dalykais.
----------------------------------
Redagavo nbanba 2012-01-19 16:42
And2s 2012 sausio 20 21:32:14
Šitas "fixas" nei kiek neapsaugos. Galima kuri nori kintamąjį išsitraukti(dbhost,dbpass ir pan.). Pvz.:
encode_base64(db_pass) = ZGJfcGFzcw==

Į pridėtinius rašome: <?php echo ${base64_decode('ZGJfcGFzcw==')}; ?>

nežino
Rašyti komentarą
Prisijunkite, norėdami parašyti komentarą.
Reitingai
Balsuoti gali tik nariai.

Prašome prisijungti arba prisiregistruoti.
Nuostabu! Nuostabu! 100% [3 Balsų]
Labai gerai Labai gerai 0% [Nėra balsų]
Gerai Gerai 0% [Nėra balsų]
Patenkinamai Patenkinamai 0% [Nėra balsų]
Blogai Blogai 0% [Nėra balsų]