Сайт сообщества | Клуб пользователей | О проекте

Имя
Пароль
ПравилаРегистрацияСправка
Сообщения за деньПоиск

Вернуться   Клуб пользователей портальной системы RUNCMS > Портал > Безопасность

Ответ
 
Опции темы Опции просмотра
Zormax вне форума Zormax
Старожил

Аватар для Zormax

| Цитировать Старый #81 11-24-2005, 19:01

Цитата:
Сообщение от Jurist
И что это за строки?
добавка строки, вида:

$lid = intval($HTTP_GET_VARS['lid']);

приводит переменную к целочисленному виду. например если кто-то попытается получить доступ к БД через эту переменную, послав запрос-инъекцию в эту переменную, то все строки превратятся в целые числа, что тем самым не даст сработать инъекции...


Всё для Sony Ericsson
Посетить домашнюю страницу Zormax
  Сообщения: 2,424 c 15.05.2004 | Репутация: 149
Jurist вне форума Jurist
Жизнь хороша!

Аватар для Jurist

| Цитировать Старый #82 11-24-2005, 23:55

То есть все в порядке? Или что-то стоит добавить?


Белорусский правовой независимый информационно-аналитический портал
-----
"Помогать людям в беде - наш профессиональный долг. Помогать им зарабатывать деньги - наш бизнес."(c) Jurist
Посетить домашнюю страницу Jurist
  Сообщения: 648 c 06.02.2005 | Репутация: 24
Zormax вне форума Zormax
Старожил

Аватар для Zormax

| Цитировать Старый #83 11-25-2005, 21:25

Во всех файлах, где есть переменная, которая принимает значение через строку браузера, надо сделать типа:
$lid = intval($lid);
или
$cid = intval($cid);

смотря какая переменная принимается через строку браузера...


В идеале надо бы конечно:

$lid = intval($HTTP_GET_VARS['lid']);

но если у тебя глобальные переменные включены, то не обязательно так, а как выше сойдет...


Всё для Sony Ericsson
Посетить домашнюю страницу Zormax
  Сообщения: 2,424 c 15.05.2004 | Репутация: 149
Jurist вне форума Jurist
Жизнь хороша!

Аватар для Jurist

| Цитировать Старый #84 11-26-2005, 00:22

Мда... вспоминаертся ролик с Каннских львов, там есть хорошая фраза: "Как важно разговаривать на разных языках"... Вот так и мы - моя твоя не понимай... Лдано, буду думать, что все ок, так жить проще... все равно ничего не понял Но спасибо за разъяснения...


Белорусский правовой независимый информационно-аналитический портал
-----
"Помогать людям в беде - наш профессиональный долг. Помогать им зарабатывать деньги - наш бизнес."(c) Jurist
Посетить домашнюю страницу Jurist
  Сообщения: 648 c 06.02.2005 | Репутация: 24
Zormax вне форума Zormax
Старожил

Аватар для Zormax

| Цитировать Старый #85 11-26-2005, 10:14

Jurist Что тебе непонятного из вышесказанного?


Всё для Sony Ericsson
Посетить домашнюю страницу Zormax
  Сообщения: 2,424 c 15.05.2004 | Репутация: 149
Jurist вне форума Jurist
Жизнь хороша!

Аватар для Jurist

| Цитировать Старый #86 11-26-2005, 16:13

В принципе - не понял ничего. А самое главное - надо ли что-то доделать, что-то поменять или может быть установить дополнительно какой-то хак? Ночью в чате была зафиксирована словесная угроза взлома сайта в ближайшем будущем. Слова приводить не буду, великий и могучий русский язык вполне может обойтись и без таких выражений...


Белорусский правовой независимый информационно-аналитический портал
-----
"Помогать людям в беде - наш профессиональный долг. Помогать им зарабатывать деньги - наш бизнес."(c) Jurist
Посетить домашнюю страницу Jurist
  Сообщения: 648 c 06.02.2005 | Репутация: 24
Jurist вне форума Jurist
Жизнь хороша!

Аватар для Jurist

| Цитировать Старый #87 11-26-2005, 16:16

Мне просто ОЧЕНЬ не хочется чтобы какой-то гад пустил коню под хвост полтора года работы над сайтом.....


Белорусский правовой независимый информационно-аналитический портал
-----
"Помогать людям в беде - наш профессиональный долг. Помогать им зарабатывать деньги - наш бизнес."(c) Jurist
Посетить домашнюю страницу Jurist
  Сообщения: 648 c 06.02.2005 | Репутация: 24
Zormax вне форума Zormax
Старожил

Аватар для Zormax

| Цитировать Старый #88 11-26-2005, 16:32

Jurist Каждый раз обновляя сайт, делай бекап БД, это раз.

Второе, пришли архивом (zormax[a]nm.ru) файлы из upload и mydownloads:
Все из корня папкки

из mylinks:
Все из корня папки


Заплатки для форума стоят? (здесь недавно Ларк выкладывал)

Может чмоды где-то неправильные стоят?
Или уже закачан скрипт к тебе на сайт, пошерсти папки...
Может через модуль Job, я его не знаю...


Всё для Sony Ericsson
Посетить домашнюю страницу Zormax
  Сообщения: 2,424 c 15.05.2004 | Репутация: 149
Jurist вне форума Jurist
Жизнь хороша!

Аватар для Jurist

| Цитировать Старый #89 11-27-2005, 00:59

Высылаю, даже немного больше, смотри письмо...

Насчет заплаток... ставил обновление Рони о версии 1.2. уже после выхода заплаток, на поддержке было написано, что заплатки уже включены ... но на всякий пожарный только что залил заплатку еще раз... Баг-фикс по поводу аватаров тоже стоит, уже давно...

Чмоды - вроде все верно, лишних файлов тоже на первый взгляд не вижу...
Модуль MyJob - это просто слегка переделанный MyAnnonces... Мне Ларк помогал, тут на форуме обсуждение было...


Белорусский правовой независимый информационно-аналитический портал
-----
"Помогать людям в беде - наш профессиональный долг. Помогать им зарабатывать деньги - наш бизнес."(c) Jurist
Посетить домашнюю страницу Jurist
  Сообщения: 648 c 06.02.2005 | Репутация: 24
dervish вне форума dervish
Нерешительный


| Цитировать Старый #90 11-27-2005, 22:27

Я тоже пострадал короче.

Я патчил только форум. А как мне аватар запатчить? Где, какие файлы, на что менять нужно? Подскажите ребята ...

Какие есть еше не нужные файлы, чтоб убрать на совсем?

  Сообщения: 6 c 05.10.2004 | Репутация: 1
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Рейтинг@Mail.ru Хостинг провайдер Majordomo. Powered by: vBulletin Version 3.0
Copyright ©2000-2024, Jelsoft Enterprises Ltd.
Все разделы прочитаны - Руководство форума - Архив - Вверх
Rambler's Top100
Output: 83.01 Kb. compressed to 75.83 Kb. by saving 7.18 Kb. (8.65%)
Page generated in 0.07744 seconds with 11 queries