avatar_OpiuM

patch сайта 0,7 - patchали!!!

Автор OpiuM, 2010 Нояб. 14, 16:08

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

Ключевые слова [SEO] patchсайтверсия 0.7

OpiuM

178.94.203.14 - - [14/Nov/2010:15:50:51 +0200] "GET /?op=login&login='DROP/**/TABLE/**/MEMB_STAT-- HTTP/1.1" 200 19221 это в логах апача из баз пропадали таблици что делать? версия сайта 0,7

epmak

#1
логин?! О_О
вот не зря я еще режу пересенные логина и пасса до 10 символов. ЕСли и сломают, то прийдется вертеться как уж на сковородке.
а вообще, это, register_globals на всякий случай лучше offфать

Korew

Правильно сделали,а как ещё с вами бороться?

8BitCore

Там у какого то парня ещё гм права остались >:] Лёха не пали, пусть повеселятся (chuckle) И дело не в логине, а вообще в фильтрации строки.

Elrance

интересно что там под хайдом)) что аж 300 сообщений

iVladko

Цитата: Elrance от 2010 Нояб. 15, 01:23  интересно что там под хайдом)) что аж 300 сообщений
Спойлер
что что? ссылка на порно без вирусов)))
[свернуть]

Vaflan

Да, есть такая проблема в engine.php

/////// Start Online Char ///////
$date = time();
$ip = $_SERVER['REMOTE_ADDR'];
$url = $_SERVER['QUERY_STRING']; //REQUEST_URI
$agent = $_SERVER['HTTP_USER_AGENT'];
$char_set = clean_var(stripslashes($_SESSION[char_set]));
$check_online = mssql_query("SELECT online_char FROM MMW_online WHERE [online_ip]='$ip'");
if(mssql_num_rows($check_online) > 0) {
mssql_query("UPDATE MMW_online SET [online_date]='$date',[online_char]='$char_set',[online_url]='$url',[online_agent]='$agent' WHERE online_ip='$ip'");
}
else {
mssql_query("INSERT INTO MMW_online ([online_ip],[online_date],[online_url],[online_char],[online_agent]) VALUES ('$ip','$date','$url','$char_set','$agent')");
}

В 0.8 исправлено

epmak


InsurgenT

Цитата: Vaflan от 2010 Нояб. 16, 01:50  $url = $_SERVER['QUERY_STRING']; //REQUEST_URI
:facepalm:
я понимаю я нооб в пхп, но какже ты вафель мог написать изначально так..

epmak

#9
Цитата: InsurgenT от 2010 Нояб. 16, 05:36  :facepalm:
я понимаю я нооб в пхп, но какже ты вафель мог написать изначально так..
а запросто. Все зависит от количества мыслей в голове. Когда ты за 1 день делаешь чуть ли не по 5 модулей, вполне можно и очепятаться. Еще есть вариант, когда защиту меняешь, то есть была, допустим, зацита, которая все массивы чистила, а потом решил отказаться от такой вот валидации, а поправить забыл.

А еще, не мое дело, но скажу. Не красиво жаловаться на халяву. Писали для вас, радоваться надо, что удобно, функционально, а, главное - даром; об ошибке можно и сказать, и поправят. И автору сайта приятно, что не зря работал, и тебе в общем-то польза налицо - от ошибки избавили.

InsurgenT

Цитата: epmak от 2010 Нояб. 16, 05:47  защита, которая все массивы чистила
он вроде не писал такой функции, тобиш осознано написал эту строчку (finger)
Спойлер
Цитата: epmak от 2010 Нояб. 16, 05:47  А еще, не мое дело, но скажу. Не красиво жаловаться на халяву. Писали для вас, радоваться надо, что удобно, функционально, а, главное - даром; об ошибке можно и сказать, и поправят. И автору сайта приятно, что не зря работал, и тебе в общем-то польза налицо - от ошибки избавили.
вот именно не твое дело, ты не в теме. я просто вафа подь*бал (fubar)
[свернуть]

GrInYa

а коммент строки вобще афигенный ^_^

$url = $_SERVER['QUERY_STRING']; //REQUEST_URI

Slap Yourself x5   :facepalm:

Vaflan

Цитата: InsurgenT от 2010 Нояб. 16, 12:12  он вроде не писал такой функции, тобиш осознано написал эту строчку (finger)
Спойлер
вот именно не твое дело, ты не в теме. я просто вафа подь*бал (fubar)
[свернуть]

Да функции не было, в тот день я переделывал и добавлял много модулей, и с одного на другого прыгал, много идей было... вот и поспешил )
В 0.8 всё чётко поправлено... а коммент к строке, это что бы не искать переменную $_SERVER['REQUEST_URI'] а просто заменить QUERY_STRING на REQUEST_URI )))))
Я нюбо кодер, и не епёт... к стате, возможно буду продолжать ммв, но уже будет движок с нуля и полностью иной (если время появиться).

logic

#13
Цитата: Vaflan от 2010 Нояб. 16, 14:49  Да функции не было, в тот день я переделывал и добавлял много модулей, и с одного на другого прыгал, много идей было... вот и поспешил )
В 0.8 всё чётко поправлено... а коммент к строке, это что бы не искать переменную $_SERVER['REQUEST_URI'] а просто заменить QUERY_STRING на REQUEST_URI )))))
Я нюбо кодер, и не епёт... к стате, возможно буду продолжать ммв, но уже будет движок с нуля и полностью иной (если время появиться).
Хватит плодить гавно-школоло-сервера, я тебя прошу..
Либо переходи на нормальный уровень как зевс, делай качественно и за деньги.
И потрать время на что-то стоящее, нежели сайт для му.. Бери пример с Легранта(это не реклама, совет).

epmak

#14
InsurgenT, что ты так привязался к несуществующей ф-ии? я предположил, и был прав, по поводу множества кода.
GrInYa, все с чего-тор начинали и кодить и косячить...
logic, я бы не был столь у верен насчет уровня проф пригодности зевса, так как есть моменты, которые не много не вяжутся с "общей" картиной. Я видел его старые работы, часть из которых, кстати, потом дополнял и частично переписывал, видел его новый сайт, который в паблике. Ощущение, что собран он как у ацг сервер(не в обиду, ребята) - из паблик скриптов, и немного своей "инженерной" мысли. Пока самый профпригодный код, который я видел на этом форуме, это у GrInYa(не реклами и не лижу зад, говорю как думаю).
Мои слова по поводу кода можете не воспринимать всерьез, ибо я сам нубас в этом деле  но сайт зевса я бы не поставил потому как видел его изнутри, сайт деслесса я бы не поставл потому как он слишком не удобен на мой взгляд(извини, ничего личного), впрочем как и сайт грини... На вкус и цвет, как говориться...
а, да, забыло про ММВ  ну вообще возможно бы поставил его, так как начинал ставить сайты именно с МУ веба, а ммв очень сильно похож.

InsurgenT

#15
Цитата: OpiuM от 2010 Нояб. 14, 16:08  178.94.203.14 - - [14/Nov/2010:15:50:51 +0200] "GET /?op=login&login='DROP/**/TABLE/**/MEMB_STAT-- HTTP/1.1" 200 19221 это в логах апача из баз пропадали таблици что делать? версия сайта 0,7
Профиксено в 0.8 версии
Или лечится так:
файл engine.php
строка:
$url = $_SERVER['QUERY_STRING'];
заменить на:
$url = clean_var(stripslashes(htmlspecialchars($_SERVER['QUERY_STRING'])));

ТЕМА ЗАКРЫТА !
Спойлер
эм, как вобще можно ммв с чемто сравнивать ?
я не видел фрее сайтов без приват версий, кроме как ммв.
у вафа есть приват скрипты но не версии сайтов как у зевса, грини, деатлесса..
да и вообще из фрее токо у грини есть демо версия, а зевса веб и ДЕВ и ДСВ и МуВеб слитые а не паблик релизы авторов.
Спойлер
Цитата: logic от 2010 Нояб. 16, 15:18  Хватит плодить гавно-школоло-сервера, я тебя прошу..
Либо переходи на нормальный уровень как зевс, делай качественно и за деньги.
И потрать время на что-то стоящее, нежели сайт для му.. Бери пример с Легранта(это не реклама, совет).
на ломаных версиях Звеба что меньче нубо серверов ?
не думаю что уровень зевса выше вафлана, и я бы не сказал что 0.8 не качественная..
насчет легранда, на что стоющие ? типо ТОП ммо игр сделать ? так у вафлана он есть..
[свернуть]
[свернуть]

Похожие темы (5)