Форум техподдержки бесплатных PHP скриптов

Форум техподдержки бесплатных PHP скриптов

Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!

Главная сайта бесплатных php скриптовГлавная сайта   ПоискПоиск  
Сегодня: 29.09.2022 - 13:03:39
Страницы:  1  2  3  
Объявление - WR-Scriptы в UTF-8 кодировке

Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.

На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы в 2022 году.

АвторСообщение

And

A
Участник форума

http://tuxik.kamensktel.ru
Вот...
Хотелось бы услышать мнения, замечания, критику...

Сообщение # 1 08.02.08 - 08:14:00

Rootman

R
гость

Ой, нет, так нельзя делать.

Через index.php?p=имя можно прочесть содержимое любого файла на сервере.

Например:

http://tuxik.kamensktel.ru/index.php?p=/proc/version - Версия ядра системы.

http://tuxik.kamensktel.ru/index.php?p=/proc/cpuinfo - Вся инфа о процессоре

http://tuxik.kamensktel.ru/index.php?p=/proc/meminfo - сколько оперативки стоит

http://tuxik.kamensktel.ru/index.php?p=/etc/fstab - Все о разделах жесткого диска. Кстати лучше ставить ReiserFS а не Ext3, куда надежней работает. Проверено более чем пятилетным опытом.

http://tuxik.kamensktel.ru/index.php?p=/etc/httpd/conf/httpd.conf - вся конфа web-сервера Apache

Дальше ломать не стал...

Вы бы хоть при обработке опасные символы удалили из сторки.

Сообщение # 2 08.02.08 - 11:56:27

Rootman

R
гость

Задача надо сказать весьма интерестная, как сделать проверку на запрещенные символы и определить какие файлы и откуда можно читать.

Я бы сделал примерно так:


Код:

$x=str_replace("./","",$x);
$x=str_replace("..","",$x);
$x=str_replace("../","",$x);

$ext=array("php"," html"); // Разрешенные расширения файлов

$x=str_replace("mods/","_OK_",$x);
$x=str_replace("cont/","_OK_",$x);

$x=str_replace("/","",$x);

$chk=explode(".",$x);

if ((!in_array($chk[sizeof($chk)-1],$ext)) or (!eregi("_OK_",$x))) {
// Неверное имя файла
} else {
// Верное имя файла
}



Что думает народ?

Сообщение # 3 08.02.08 - 12:58:53

And

A
Участник форума

Я новичёк многого не знаю...
Спасибо за критику и советы...

Сообщение # 4 08.02.08 - 13:11:05

And

A
Участник форума


>Rootman
Я бы сделал примерно так:
.........

Цитата

Получилось
Ещё раз спасибо за помощь!

Сообщение # 5 08.02.08 - 13:58:48

Martin

M
гость

Ха, спасибо Рутэн. У меня как не странно тоже такое было :)

Сообщение # 6 10.02.08 - 12:50:11

Rootman

R
гость

Martin, да это типичная ошибка - передавать имя файла в адресной строке не фильтруя опасные символы, в данном случае символы, позволяющие указывать полный путь к любому файлу на сервере. Я тоже иногда по забывчивости такие ошибки допускаю.

Сообщение # 7 11.02.08 - 06:03:21

Rootman

R
гость

Кстати написаный мною код исправления по-хорошему надо-бы доработать. Вот сейчас смотрю я на него. Надо-бы в нем сначала выполнить проверку, если ли в начале строки (а не как у меня проверка по всей строке) обращение к каталогу mods/ или cont/ , если нет тогда доступ надо блокировать сразу-же и остальные проверки можно уже не делать.

Сообщение # 8 11.02.08 - 06:06:58

And

A
Участник форума

Прикрутил гостевю WR-Guest © 1.7M с модом CAPTCHA
оцените....

Сообщение # 9 12.02.08 - 10:13:26

And

A
Участник форума

Rootman,

Кстати написаный мною код исправления по-хорошему надо-бы доработать. Вот сейчас смотрю я на него. Надо-бы в нем сначала выполнить проверку, если ли в начале строки (а не как у меня проверка по всей строке) обращение к каталогу mods/ или cont/ , если нет тогда доступ надо блокировать сразу-же и остальные проверки можно уже не делать.

Цитата


Код:

// Фильтруем опасные символы в ссылке // Rootman (kalabzin@stu.ru)

if (isset($_GET['go'])) { $x=$_GET['go'];
$x=str_replace("mod/","_OK_",$x);
$x=str_replace("cont/","_OK_",$x);

if (!eregi("_OK_",$x)) {
exit (ERROR!!!);}

$x=str_replace("./","",$x);
$x=str_replace("..","",$x);
$x=str_replace("../","",$x);
$x=str_replace("/","",$x);
$chk=explode(".",$x);
$ext=array("php","html"); // Разрешенные расширения файлов

if (!in_array($chk[sizeof($chk)-1],$ext)) {
exit (ERROR!!!);}
}

Так пойдёт?...

Сообщение # 10 12.02.08 - 17:17:25

And

A
Участник форума


Код:
exit ("ERROR!!!");

Сообщение # 11 13.02.08 - 08:37:44

CHUMBA

C
гость

Rootman, ты знаеш как ссылки прописывать так:

http://example.com/dir/?func=file

вот примерно так...
если знаеш кинь полный код а.....

Сообщение # 12 13.02.08 - 15:13:59
Оцените и посоветуйте :Предыдущая темаСледующая тема: зацените пожалуйста
Страницы:  1  2  3  

Сообщение
Имя E-mail
Сообщение

Нажмите на точку возле имени для обращения к участнику

Смайлы:

Ещё смайлы
Эмодзи
         
Защитный код: (введите цифры, которые на синем фоне)
   
WR-Счётчик
Powered by WR-Forum Professional © 2.2.2