|
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 03.10.2024 - 22:04:10 Сайт "TUXIK"Объявление - WR-Scriptы в UTF-8 кодировке |
---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий! Планирую продолжить работы весь 2023 год.
|
Автор | Сообщение |
---|
And •
A Участник форума
|
http://tuxik.kamensktel.ru Вот... Хотелось бы услышать мнения, замечания, критику... | |
|
Сообщение # 1 |
08.02.08 - 08:14:00
| | Rootman •
R гость
|
Ой, нет, так нельзя делать.
Через index.php?p=имя можно прочесть содержимое любого файла на сервере.
Например:
http://tuxik.kamensktel.ru/index.php?p=/proc/version - Версия ядра системы.
http://tuxik.kamensktel.ru/index.php?p=/proc/cpuinfo - Вся инфа о процессоре
http://tuxik.kamensktel.ru/index.php?p=/proc/meminfo - сколько оперативки стоит
http://tuxik.kamensktel.ru/index.php?p=/etc/fstab - Все о разделах жесткого диска. Кстати лучше ставить ReiserFS а не Ext3, куда надежней работает. Проверено более чем пятилетным опытом.
http://tuxik.kamensktel.ru/index.php?p=/etc/httpd/conf/httpd.conf - вся конфа web-сервера Apache
Дальше ломать не стал...
Вы бы хоть при обработке опасные символы удалили из сторки.
| |
|
Сообщение # 2 |
08.02.08 - 11:56:27
| | Rootman •
R гость
|
Задача надо сказать весьма интерестная, как сделать проверку на запрещенные символы и определить какие файлы и откуда можно читать.
Я бы сделал примерно так:
Код: $x=str_replace("./","",$x); $x=str_replace("..","",$x); $x=str_replace("../","",$x);
$ext=array("php"," html"); // Разрешенные расширения файлов
$x=str_replace("mods/","_OK_",$x); $x=str_replace("cont/","_OK_",$x);
$x=str_replace("/","",$x);
$chk=explode(".",$x);
if ((!in_array($chk[sizeof($chk)-1],$ext)) or (!eregi("_OK_",$x))) { // Неверное имя файла } else { // Верное имя файла }
|
Что думает народ? | |
|
Сообщение # 3 |
08.02.08 - 12:58:53
| | And •
A Участник форума
|
Я новичёк многого не знаю... Спасибо за критику и советы... | |
|
Сообщение # 4 |
08.02.08 - 13:11:05
|
| And •
A Участник форума
|
Цитата: >Rootman Я бы сделал примерно так: ......... | Получилось Ещё раз спасибо за помощь! | |
|
Сообщение # 5 |
08.02.08 - 13:58:48
| | Martin •
M гость
|
Ха, спасибо Рутэн. У меня как не странно тоже такое было :) | |
|
Сообщение # 6 |
10.02.08 - 12:50:11
| | Rootman •
R гость
|
Martin, да это типичная ошибка - передавать имя файла в адресной строке не фильтруя опасные символы, в данном случае символы, позволяющие указывать полный путь к любому файлу на сервере. Я тоже иногда по забывчивости такие ошибки допускаю. | |
|
Сообщение # 7 |
11.02.08 - 06:03:21
| | Rootman •
R гость
|
Кстати написаный мною код исправления по-хорошему надо-бы доработать. Вот сейчас смотрю я на него. Надо-бы в нем сначала выполнить проверку, если ли в начале строки (а не как у меня проверка по всей строке) обращение к каталогу mods/ или cont/ , если нет тогда доступ надо блокировать сразу-же и остальные проверки можно уже не делать. | |
|
Сообщение # 8 |
11.02.08 - 06:06:58
| | And •
A Участник форума
|
Прикрутил гостевю WR-Guest © 1.7M с модом CAPTCHA оцените.... | |
|
Сообщение # 9 |
12.02.08 - 10:13:26
| | And •
A Участник форума
|
Rootman,
Цитата: Кстати написаный мною код исправления по-хорошему надо-бы доработать. Вот сейчас смотрю я на него. Надо-бы в нем сначала выполнить проверку, если ли в начале строки (а не как у меня проверка по всей строке) обращение к каталогу mods/ или cont/ , если нет тогда доступ надо блокировать сразу-же и остальные проверки можно уже не делать. | Код: // Фильтруем опасные символы в ссылке // Rootman (kalabzin@stu.ru)
if (isset($_GET['go'])) { $x=$_GET['go']; $x=str_replace("mod/","_OK_",$x); $x=str_replace("cont/","_OK_",$x);
if (!eregi("_OK_",$x)) { exit (ERROR!!!);}
$x=str_replace("./","",$x); $x=str_replace("..","",$x); $x=str_replace("../","",$x); $x=str_replace("/","",$x); $chk=explode(".",$x); $ext=array("php","html"); // Разрешенные расширения файлов
if (!in_array($chk[sizeof($chk)-1],$ext)) { exit (ERROR!!!);} } | Так пойдёт?... | |
|
Сообщение # 10 |
12.02.08 - 17:17:25
| | And •
A Участник форума
|
|
Сообщение # 11 |
13.02.08 - 08:37:44
| | CHUMBA •
C гость
|
Rootman, ты знаеш как ссылки прописывать так:
http://example.com/dir/?func=file
вот примерно так... если знаеш кинь полный код а.....
| |
|
Сообщение # 12 |
13.02.08 - 15:13:59
| |
|