Saugi PHP-Fusion sistema - Lithuanian PHP-Fusion Support Site

gedvydas8612	Naršo
MaFetas	00:08:07
Zwimba	00:11:33
Majakas	00:33:11
Andrius_DC	00:46:21
tomukzzz	00:49:55
Gazuots	01:04:35
Hs	01:17:20
EdjUxaS	01:19:50
Promo	01:29:06
RaiShteliS	01:38:42
Penac	02:26:59
etg	02:36:57
skillo	03:02:00
gintulis	03:18:13
Arvydas	03:25:52
AivarasZs	03:37:23
ewl	03:38:28
Enlorner	03:54:15
minimukas	08:10:48

Informacija:

OS: Unknown
Naršyklė: Nežinoma
IP: 38.107.179.230
Naujienų: 478
Straipsnių: 231
Temų: 46,118
Postų: 499,944
Postų pask. parą: 71
Shout'ų pask. parą: 18
P.S.C. pask. parą: 90
Nuorodų kataloge: 2

Prisijungti

Dar ne narys?
Registruokis

Pamiršai slaptažodį?
Paprašyk naujo
Aktyvuoti save

Šaukykla

Jei norite rašyti žinutes, turite prisijungti.

EdjUxaS
2012/05/18 08:55
Sveiki. Grįžtu į phpfusion po pusės metų pertraukos. Kas naujo?

tomukzzz
2012/05/17 22:52
Sveiki, ar tik man ta naujausia php f versija neisiraso meto: Servise Unavaible ar tik man? Ka daryt? schmod geras

iGolf
2012/05/17 22:47
Kaip čia taip botas bazarina?

equals
2012/05/17 22:44
xD

Portalo Robotas
2012/05/17 22:07
Pisu viska kas juda. Jei nejuda - pajudinu.

Šaukyklos archyvas

Apklausa

Archyvas

Reklama 400x60

buy proxy Automatizuotas hostingas paskolos linksmiau.net kreditai Kompiuterių remontas Kompiuteriu prieziura Oro balionai Hot air balloon

Saugi PHP-Fusion sistema

Parašė SofteriZ 2012 sausio 15 14:47:53

Sveiki, taigi šiandien jus apšviesiu PHP-Fusion saugumo skiltyje, nuo informacijos pradinukam, iki sunkesnių kodų.

1. Negalima naudoti vienodų slaptažodžių, ar tų kuriuos naudojate kituose tinklapiuose. Geriausia būtų (kaip darau ir pats) suspaudyt bet kokias raides naršyklės lange ir užsirašyti į knygutę ar .txt failiuką.

2. Patartina pasikeisti config.php failo, bei administration katalogo pavadinimus. Kaip tai padaryti? Einame į maincore.php failą, susirandame 36-43 eilutes, ten kur matote config.php failo pavadinimą, keičiam jį į savo norimą. Vėliau įeiname į FTP susirandame config.php failą, bei pakeičiame jo pavadinimą į tokį, kokį nurodėte maincore.php faile.

Pastaba: maincore.php failo pavadinimo keisti tiesiog neapsimoka! Jį galima išgauti įvedus tam tikrą kodą.

3. Kintamųjų keitimas. Atsidarome Notepad++ spaudžiam CTRL+F ir ieškome šių kintamųjų “$db_host”, “$db_name”, “$db_user”, “$db_prefix”, juos keičiame į bet kokius jūsų pasirinktus. Kai pakeičiame, įeiname į config.php failą ir ten pakeičiame juos, į tokius, kuriuos nurodėte maincorė‘j.

4. Apsauga nuo SQL atakų, tikrai naudingas dalykas, mažiausiai 60% apsaugantis nuo SQL atakų, o, kad pernelyg daug nevargti, duosiu kodą kurį reiks įterpti į maincore prieš ?>.

PHP Kodas:

If (preg_match("/^(.*)((.*)union(.*)|(.*)select(.*)from(.*)|(.*)drop(.*)|(.*)truncate(.*)|(.*)delete(.*)from(.*))+$/i",FUSION_QUERY)) {

 

      $msg_subject = "".USER_IP." : Bandymas įsilaužti";

 

      $message = "Lankytojas ".USER_IP." naudojantis tikslų IP adresą: (".gethostbyaddr(USER_IP).") bandė įvykdyti portalo veiklai kenksmingą užklausą tokiu metu: ".showdate("%Y-%m-%d %H:%M:%S",time()).".\n\n. Užklausa: ".htmlspecialchars(FUSION_QUERY);

 

      $die_msg = "<center><big><big><b>TU PRIGAUTAS!</b></big></big><br>\n<font color='#ff0000'>Administracija ką tik gavo žinutę su jūsų IP adresu, bei kita informacija. Jūs esate blokuojamas portale visam laikui, be šansų sugrįžti.</font></center>";

   $result = dbquery("INSERT INTO ".$db_prefix."blacklist (blacklist_ip, blacklist_reason) VALUES ('".USER_IP."', 'Mėginimas įsibrauti į sistemą.')");

      $result = dbquery("INSERT INTO ".DB_PREFIX."messages (message_to, message_from, message_subject, message_message, message_smileys, message_read, message_datestamp, message_folder) VALUES ('1', '1', '$msg_subject', '$message', 'y', '0', '".time()."', '0');");

      die($die_msg);

 

}

5. Pridėtinių puslapių apsauga, neleidžianti išgauti config.php failo duomenų. Apsaugos jūsų tinklapį nuo 10% įsilaužėlių.
Atsidarom /administration/custom_pages.php

Susirandam

if (isset($_POST['save'])) {

po

$page_content = addslash($_POST['page_content']);

įterpiame:

if (preg_match("/config.php|$db_host|$db_pass|$db_name|$db_prefix|base64_decode| file_get_contents/", $page_content)) { header('Location: '.$settings['siteurl'].''); }

po to, susirandame

if (isset($_POST['preview'])) {

po

$page_content = stripslash($_POST['page_content']);

įterpiame:

if (preg_match("/config.php|$db_host|$db_pass|$db_name|$db_prefix/", $page_content)) { header('Location: '.$settings['siteurl'].''); }

Su pridėtiniais puslapiais baigta!

6. Panelių kenksmingo kodo apsauga. Apsaugos dar nuo 10% įsilaužimų.

Susirandam:

$panel_content = isset($_POST['panel_content']) ? stripslash($_POST['panel_content']) : "";

Po juo rašome:

if (preg_match("/config.php|$db_host|$db_pass|$db_name|$db_prefix/", $panel_content))
{
header('Location: '.$settings['siteurl'].'');
}

Štai toks nedidelis straipsniukas, padės tieks naujokams, tiek labiau patyrusiems.

8 Komentarai · 673 Skaityta ·

Komentarai

Jaunelis 2012 sausio 16 18:41:47
Šaunuolis esi ! dešimt balų

Zwimba 2012 sausio 18 04:53:34
Pasinaudojau straipsniu. Dekui kad netingi pasidalint su visais...

SofteriZ 2012 sausio 18 13:01:54
Nėr už ką. Šiaip viskas neturėjo būt taip susigrūdę į vieną eilę, matyt nebuvo įjungtas automatinis eilučių laužymas.

adulis 2012 vasario 21 13:07:28
Straipsnio viršuje parašyta keisti config.php pavadinimą, o apačioje kodai su config.php. Paskutiniam kode, neparašyta kuria faile ieškoti eilutės.
----------------------------------
Redagavo adulis 2012-02-21 13:08

Donatis07 2012 kovo 06 18:49:15
config.php failo pavadinimą reikia pakeisti ir includes/captcha_include.php faile. ;]

nemazius 2012 gegužės 02 09:48:24
kas naudojas v7.02.xx tai reikia eiti ir pakeisti includes/captchas/securimage/secureimage.php faile kad registracija veiktu

Rašyti komentarą

Prisijunkite, norėdami parašyti komentarą.

Reitingai

Balsuoti gali tik nariai.

Prašome prisijungti arba prisiregistruoti.

Nėra reitingų.