 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 20.04.2024 - 00:34:11
Сайт "TUXIK"| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.
|
| Автор | Сообщение |
|---|
And •
A Участник форума
|
http://tuxik.kamensktel.ru
Вот...
Хотелось бы услышать мнения, замечания, критику... | |
|
| Сообщение # 1 |
08.02.08 - 08:14:00
|  |
Rootman •
R гость
|
Ой, нет, так нельзя делать.
Через index.php?p=имя можно прочесть содержимое любого файла на сервере.
Например:
http://tuxik.kamensktel.ru/index.php?p=/proc/version - Версия ядра системы.
http://tuxik.kamensktel.ru/index.php?p=/proc/cpuinfo - Вся инфа о процессоре
http://tuxik.kamensktel.ru/index.php?p=/proc/meminfo - сколько оперативки стоит
http://tuxik.kamensktel.ru/index.php?p=/etc/fstab - Все о разделах жесткого диска. Кстати лучше ставить ReiserFS а не Ext3, куда надежней работает. Проверено более чем пятилетным опытом.
http://tuxik.kamensktel.ru/index.php?p=/etc/httpd/conf/httpd.conf - вся конфа web-сервера Apache
Дальше ломать не стал...
Вы бы хоть при обработке опасные символы удалили из сторки.
| |
|
| Сообщение # 2 |
08.02.08 - 11:56:27
| |
Rootman •
R гость
|
Задача надо сказать весьма интерестная, как сделать проверку на запрещенные символы и определить какие файлы и откуда можно читать.
Я бы сделал примерно так:
Код:
$x=str_replace("./","",$x);
$x=str_replace("..","",$x);
$x=str_replace("../","",$x);
$ext=array("php"," html"); // Разрешенные расширения файлов
$x=str_replace("mods/","_OK_",$x);
$x=str_replace("cont/","_OK_",$x);
$x=str_replace("/","",$x);
$chk=explode(".",$x);
if ((!in_array($chk[sizeof($chk)-1],$ext)) or (!eregi("_OK_",$x))) {
// Неверное имя файла
} else {
// Верное имя файла
}
|
Что думает народ? | |
|
| Сообщение # 3 |
08.02.08 - 12:58:53
| |
And •
A Участник форума
|
Я новичёк многого не знаю... 
Спасибо за критику и советы... | |
|
| Сообщение # 4 |
08.02.08 - 13:11:05
|
|
And •
A Участник форума
|
Цитата: >Rootman
Я бы сделал примерно так:
......... |
Получилось 
Ещё раз спасибо за помощь! | |
|
| Сообщение # 5 |
08.02.08 - 13:58:48
| |
Martin •
M гость
|
Ха, спасибо Рутэн. У меня как не странно тоже такое было :) | |
|
| Сообщение # 6 |
10.02.08 - 12:50:11
| |
Rootman •
R гость
|
Martin, да это типичная ошибка - передавать имя файла в адресной строке не фильтруя опасные символы, в данном случае символы, позволяющие указывать полный путь к любому файлу на сервере. Я тоже иногда по забывчивости такие ошибки допускаю. | |
|
| Сообщение # 7 |
11.02.08 - 06:03:21
| |
Rootman •
R гость
|
Кстати написаный мною код исправления по-хорошему надо-бы доработать. Вот сейчас смотрю я на него. Надо-бы в нем сначала выполнить проверку, если ли в начале строки (а не как у меня проверка по всей строке) обращение к каталогу mods/ или cont/ , если нет тогда доступ надо блокировать сразу-же и остальные проверки можно уже не делать. | |
|
| Сообщение # 8 |
11.02.08 - 06:06:58
| |
And •
A Участник форума
|
Прикрутил гостевю WR-Guest © 1.7M с модом CAPTCHA
оцените....  | |
|
| Сообщение # 9 |
12.02.08 - 10:13:26
| |
And •
A Участник форума
|
Rootman,
Цитата: | Кстати написаный мною код исправления по-хорошему надо-бы доработать. Вот сейчас смотрю я на него. Надо-бы в нем сначала выполнить проверку, если ли в начале строки (а не как у меня проверка по всей строке) обращение к каталогу mods/ или cont/ , если нет тогда доступ надо блокировать сразу-же и остальные проверки можно уже не делать. |
Код:
// Фильтруем опасные символы в ссылке // Rootman (kalabzin@stu.ru)
if (isset($_GET['go'])) { $x=$_GET['go'];
$x=str_replace("mod/","_OK_",$x);
$x=str_replace("cont/","_OK_",$x);
if (!eregi("_OK_",$x)) {
exit (ERROR!!!);}
$x=str_replace("./","",$x);
$x=str_replace("..","",$x);
$x=str_replace("../","",$x);
$x=str_replace("/","",$x);
$chk=explode(".",$x);
$ext=array("php","html"); // Разрешенные расширения файлов
if (!in_array($chk[sizeof($chk)-1],$ext)) {
exit (ERROR!!!);}
} |
Так пойдёт?... | |
|
| Сообщение # 10 |
12.02.08 - 17:17:25
| |
And •
A Участник форума
|
|
| Сообщение # 11 |
13.02.08 - 08:37:44
| |
CHUMBA •
C гость
|
Rootman, ты знаеш как ссылки прописывать так:
http://example.com/dir/?func=file
вот примерно так...
если знаеш кинь полный код а.....
| |
|
| Сообщение # 12 |
13.02.08 - 15:13:59
| |
|
Главная сайта