ReduKToR Blog System Версия 0.9 alpha [path1] Что нового в версии 0.9: [+] - Mod_Rewrite [+] - Добавлена возможность перехода к полной версии новости.(new) [+] - Профиксены на сегодняшний день,все известные-найденные уязвимости в коде. [+] - Добавленая шаблонизация* [+] - Все настройки теперь можно изменить в файле core.php,а не лазить по файлам. [+] - Изменен основной дизайн проекта. *Читать пункт ниже. [+]Установка: - Создайте Базу данных в PHPmyAdmin - Пропишите данные в файле CORE.PHP - В адресной строке браузера пропишите http://ВАШ-САЙТ.ру/install.php - После успешной установки удалите файл INSTALL.PHP из папки со скриптами - Потом перейдите по адресу http://ВАШ-САЙТ.ру/admin/admin.php По умолчанию Логин:admin Пароль:1admin1 - Обязательно измените его,отредактировав сам файл core.php который находится в папке includes - После успешного входы,вы можете начать добавлять новости и редактировать свежезарегистрированных пользователей [+]Юзабилити: - Все действия проиходят из панели администратора. - Для редактирвоания фраз\параметров и т.д Необходимо Править сами файлы php -Для смены шаблона,достаточно отредактировать файлы .tpl Который находятся в папке templates . Внимание: Это не пиар скрипта,и не выепистость как некоторые думают.Я выложил скрипт, чтобы найти помощи,а именно, я очень прошу вас проверить скрипт на уязвимости, показать все недочеты и баги. Скачать 0.9alpha
Deathdreams,ну если учитывать ,то что у меня знаний по php не так много,то ... ПС.у меня тоде быдло код, без учтения всяких норм и стандартов, но работает!
Строка 74 - подключение к мускулю. (index.php) Зачем 2 раза подключатся, если в core.php уже создано подключение?
[Raz0r],стеб не уместен,бро.... Я не к чему никого не побуждаю....Просто решил создать тему) Я например не люблю эти здоровенные блоги,в которых много чего не понятно и не нужно
warlok,я переношу критику)Причем уже исправил недочет указанный во втором посте) Причем заметь,я не отрицаю,что у меня код написал не по нормам......
шаблонов нет =( а это вообще ужос PHP: mysql_query("INSERT INTO `blog`.`users` (`name` ,`password` ,`email` ,`homepage` ,`icq` ,`ip` ,`date`) VALUES ('".$_POST['name']."', '".$_POST['pass']."', '".$_POST['email']."', '".$_POST['homepage']."', '".$_POST['icq']."', '".$_SERVER['REMOTE_ADDR']."', '".date("d.m.Y")."');");
Я на локалке запустил, даж зарегаться не смог Почемуто 2 раза поле с регистрацией+кидает не на главную сайта а на гл локалхоста. Идея мне нрав. Если закрыть уязвимости будет норм. ps. Я код через выравниватель (Клац) пропустил, получилось красивей
Обновил первый пост.Просьба всех прочитать. За поправки\комментарии всем большое спасибо! Огромный респект человеку с ником: Deathdreams Также Ctacok,b3 и другим....
ReduKToR Вы получаете садомазохистское удовольствие, когда ваши поделки поливают дерьмом? Прежде чем срать "обновленными" версиями - проверьте, хотя б, что скрипты хоть минимально работают. Например, в админку - тупо не зайти. Защита, которую, видимо, вам посоветовали поставить - делает скрипты еще более уязвимыми. Потому что SQL-inj теперь возможна с ВКЛЮЧЕННЫМИ magic_quotes. То же самое с XSS - они вообще всегда теперь работают
ReduKToR http://forum.antichat.ru/thread30641.html Прочитать внимательно 1 и 19 посты. ВНИМАТЕЛЬНО. Сходить сделать чаю/покурить/пописать. Прочитать еще раз. Попытаться понять. Повторять последние два пункта до полного понимания. Потом собраться с силами и отягощенные новыми знаниями - переписать весь код, убрать долбанную "фильтрацию" (я кстати ошибся, ее можно обойти при любой установке magic_quotes). З.Ы. И попробуйте писать красивый код, отступы отсутствие лишних инклудов, лишних точек в путях и так далее
m0Hze Многовато пафоса и ничего значимого, кроме раскрытия путей вы и не нашли. Очень интересно, как вы проведете инъекцию в login.php. Насчет xss в search.php - не уверен, конечно, что не будет работать, но тоже интересно htmlspecialchars в index.php защищает от XSS при выводе, конечно неправильно портить данные в БД - но пусть. ReduKToR Ваша стандартная проблема - ваша поделка - не работает. Где-то лишние точки в относительных путях, где-то BOM запись в начале файла, не дающая использовать сессии
m0Hze Угу, полное отсутствие кавычек - не позволит выйти за пределы запроса с одним только параметром. От двух параметров - да, там можно сделать что угодно при любой установке магических_кавычек
