PHP: $orders = array(); $db->query("SELECT * FROM `" . PREFIX . "_zakaz` WHERE id='".$zakaz_id."' "); while ( $row = $db->get_row() ) $orders []= $row; foreach($orders as $order) { $db->query("SELECT * FROM `" . PREFIX . "_urls` WHERE zakaz_id='".$order['id']."' "); $poz = $db->num_rows(); }
Пишу простую CMS. Требуется создать файлик, в котором будут хранится настройки(их не больше 20), и скрипт который будет их изменять. Хотелось бы услышать совет, в каком виде будет удобнее сохранять эти настройки. БД не подходит, а в простой файл с каждой строчки тоже не вариант.
Находил даже специальные классы для записи в файл, но я пришел к выводу что в моем случае проще использовать функцию file_put_contents(). Благодарю за помощь
Сижу разбираю чужой код. Там кодеры наколдовали вот такую штуку - extract($_POST); extract($_GET); на php.su написано - так ли это критично? и стоит ли из за этого переписывать кучу строк кода? или может как то себя обезопасить?
Да, на самом деле это очень критично. Ну просто как пример, если обратиться к скрипту вот так: Code: script.php?_SERVER[REMOTE_ADDR]=trololo То мы заставим думать скрипт что у нас какой то левый IP. Но это самое безобидное что можно провернуть. Все остальное зависит от места где этот код вставлен. Но как минимум хотябы добавьте флаг EXTR_SKIP PHP: extract($_POST, EXTR_SKIP); Еще лучше сделать вот так: PHP: extract($_POST, EXTR_SKIP, 'extr_'); будет глобализировать все переменные присваивая им префикс, но наверняка прийдется переписывать код Но в идеале надо переписывать кучу строк кода на нормальную работу с GET и POST
читал тему , где через веб-шелл ,лезут в IPB , вот и хотелось бы , чтоб кто-то разъяснил , ну или подсказал , где можно заказать , на тот или иной форум , очень надо !Мои контакты :
подскажите мне одну вещь: если юзер прошел авторизацию то его редиректит на один файл, а если юзер открыл файл не проходя авторизации, то его бы редиректило на другой файл. вот меня мучает такой вопрос. спасибо.
"Вопрос" ужасно сформулирован, вообще не понял что вы хотите узнать. Универсальный ответ - все зависит от скрипта.
вот смотрите: простая авторизация по паролю из переменной, человек вводит пароль и его кидает на lol.php, а если кулхацкер додумается обойти авторизацию путем ввода /lol.php в адресную строку, то он увидет содержимое без пароля. как сделать так, чтобы lol.php открылось только после удачной авторизации.
в lol.php делать проверку - авторизован юзер или нет. http://www.softtime.ru/info/articlephp.php?id_article=34
при авторизации передавай сеесию и тогда в файле который хочешь скрыть допиши так PHP: <? if(isset($_SESSION['id'])) { содержымое файла } else { редирект куда там захочешь }
Не получается. Вот код авторизации: PHP: <?php session_start(); $_SESSION['auth']; $password = "password_d"; $pass = $_POST['password']; if($pass == $password) { if(isset($_SESSION['auth'])); { Header("Location: list.php"); } else { Header("Location: index.php"); } } else { Header("Location: index.php"); } ?> Но, list.php все-равно открывается без авторизации
