ExBB Community :: Список сообщений, автором которых является 1Bot

Сайт проекта ExBB

Общение объединяет!

Войдите на форум при помощи

Войти через loginza

Чат на форуме

Помощь

Поиск

Пользователи

BanList

BanList

Здравствуйте Гость ( Вход · Регистрация · Правила форума )

Забыли пароль?

ExBB Community » Список сообщений, автором которых является 1Bot

Страниц (51): В начало « ... 13 14 15 16 [17] 18 19 20 21 ... » В конец

Найдено сообщений: 763

1Bot	Отправлено: 25 декабря 2013 — 15:49 • Тема: Пересадка ExBB на MySQL • Форум: Обсуждаем
Ответов: 114 Просмотров: 72839	BON пишет: ну а что нельзя разве будет сделать конвертер ? Конвертеру необходимо будет лишь указать версию, к которой перейти, а сам процесс перехода должен быть автоматизирован.

Отправлено: 25 декабря 2013 — 15:21 • Тема: Уязвимость на форуме? • Форум: Уязвимости

Ответов: 37
Просмотров: 29539

WebMaster пишет:

что мешает переименовать php файл в .jpg и уже выполнить его.

Форум вообще-то прикрепляемые файлы - не картинки сжимает в архив, а вот картинки оставляет. Другое дело как apache интерпретирует файлы с расширениями .jpg .bmp .gif, ведь вполне может быть что на эти расширения вызывается apache-м заданный модуль для обработки.

1Bot	Отправлено: 25 декабря 2013 — 15:01 • Тема: Уязвимость на форуме? • Форум: Уязвимости
Ответов: 37 Просмотров: 29539	nikk пишет: А я это... того... удалил короче.. Да и чего там может быть, фотка на jpg.. оперативно!

1Bot	Отправлено: 25 декабря 2013 — 14:07 • Тема: Уязвимость на форуме? • Форум: Уязвимости
Ответов: 37 Просмотров: 29539	nikk Пожалуйста, упакуйте этот файл и залейте сюда для анализа.

Отправлено: 25 декабря 2013 — 12:27 • Тема: Пересадка ExBB на MySQL • Форум: Обсуждаем

Ответов: 114
Просмотров: 72839

WebMaster
Еще совет: на ранней стадии (т.е. сейчас) необходимо продумать как будут вносится изменения для новых версий, ведь изменяться будут не только файлы, но и структура и данные в БД.
Вопрос безболезненного перехода между версиями (причем желательно в обе стороны) так до сих пор и не решен. Без этого получим "потери" и невозможность коллективной разработки. Т.е. фактически код будет править один человек, надеясь на свою память, что сильно замедлит развитие.

Отправлено: 25 декабря 2013 — 08:14 • Тема: Уязвимость на форуме? • Форум: Уязвимости

Ответов: 37
Просмотров: 29539

Ранее уже обсуждали, но еще раз попробую напомнить:
Во все каталоги, кроме корневого для форума, рекомендую закачать (или добавить строчки к существующему) .htaccess с содержимым:

CODE:

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

<Files ~ "\.(php[2-5]?|cgi|pl|fcgi|fpl|phtml|shtml|asp|jsp)$">
Deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

Этим самым мы отключаем PHP в данном каталоге и заставляем для скриптов закрыть доступ.
Можно конечно попробовать загрузить и перезаписать сам .htaccess. Поэтому необходимо запретить конкретно у .htaccess права на запись.

CODE:

# chmod a-w .htaccess

Отправлено: 25 декабря 2013 — 08:11 • Тема: Уязвимость на форуме? • Форум: Уязвимости

Ответов: 37
Просмотров: 29539

nikk пишет:

Это я так понимаю, нужно прописывать в каждом файле .htaccess?

неправильно понимаете!
Необходимо эти права выставить с помощью либо программы, которую используете для закачки файлов, либо из командной строки в терминале.

Отправлено: 25 декабря 2013 — 07:47 • Тема: Уязвимость на форуме? • Форум: Уязвимости

Ответов: 37
Просмотров: 29539

BON пишет:

ставь не меньше 700 и посмотри будет ли нормально или нет

Вы думаете, что apache работает под учетной записью, с которой nikk заходит по ftp? Очень неправильная настройка.
Скорее всего пользователь nikk входит в группу apache или http, т. е. права нужные как раз для группы нужно выставлять. Ну а для пользователя nikk естественно полные.

Например
1) на папки форума необходимо задать права доступа на чтение/запись/выполнение для группы

CODE:

# chmod 770

:
для папки data
для папок вида forumN (N - номер раздела)
для папки members
для папки messages
для папки uploads
для папки im/avatars/personal
для папки search и всех папок в ней
для папок вида modules/YYY/data (YYY - название модуля)

2) для остальных папок задать права доступа на чтение/выполнение для группы

CODE:

# chmod 750

3) Права на файлы чтение/запись для группы, в папках

CODE:

# chmod 660

data
forumN (N - номер раздела)
members
messages
uploads
im/avatars/personal
search и всех папок в ней
modules/YYY/data (YYY - название модуля)

4) Права на файлы в остальных папках только чтение для группы

CODE:

# chmod 640

!!! Важно !!! При установке таких прав, как в приведенном примере, любой локальный пользователь хоста, входящий в группу apache имеет такие же права, как и apache.

Отправлено: 25 декабря 2013 — 07:22 • Тема: Пересадка ExBB на MySQL • Форум: Обсуждаем

Ответов: 114
Просмотров: 72839

NordWest пишет:

теперь есть чего почитать на праздники

ADOdb - полезнейший компонент в любом проекте с базами данных. Мне после долгой работы с MySQL пришлось перейти на PostgreSQL, но практически переписывать свой код не понадобилось, за исключением некоторых очень специфических оптимизаций под базу, но таких мест было очень мало.

А на праздники нужно праздновать Ёлка

Ёлка

хотя учиться никогда не лишне, особенно если это приносит удовольствие.

Отправлено: 24 декабря 2013 — 20:54 • Тема: Пересадка ExBB на MySQL • Форум: Обсуждаем

Ответов: 114
Просмотров: 72839

NordWest пишет:

1Bot пишет:

Очень желательно использовать ADOdb

Эх, было бы где ещё почитать про это дело на родном языке. Я пытался разбираться с ADOdb Lite но ввиду отсутствия русского мануала продвинулся не сильно. ::sad24.gif::

Документация по ADOdb уже давно на русский язык переведена:
http://php.russofile.ru/ru/trans...ate/sql/adodb01/
http://php.russofile.ru/ru/trans...ate/sql/adodb02/
http://php.russofile.ru/ru/trans...ate/sql/adodb03/
http://www.php.su/articles/?cat=...pdb&page=019

1Bot	Отправлено: 24 декабря 2013 — 16:26 • Тема: Пересадка ExBB на MySQL • Форум: Обсуждаем
Ответов: 114 Просмотров: 72839	WebMaster Очень желательно использовать ADOdb, чтобы потом не пришлось переделками заниматься на другие БД. Есть поддержка MySQL, Interbase, Sybase, PostgreSQL, Oracle, Microsoft SQL server, Foxpro ODBC, Access ODBC, Informix, DB2, Sybase SQL Anywhere, generic ODBC, Microsoft ADO.

Отправлено: 23 декабря 2013 — 21:28 • Тема: Дополнения для форума к праздникам • Форум: Модификации и дополнения

Ответов: 48
Просмотров: 38822

BON пишет:

А ещё можно сделать чтобы шел снег. Очень просто.

Скачиваем пикрепленный фаил в нем лежит фаил sneg.js и snow.gif
Далее чтоб не захломлять корень я раскидал по папкам всё: фаил sneg.js закрдываем в папку \javascript, а фаил snow.gif в корень сайта.
Затем надо подключить фаил sneg.js
Для этого открываем фаил \templates\ваш_скин\all_header.tpl Находим в нем эту строку:

CODE:

<script type="text/javascript" language="JavaScript" src="javascript/JsHttpRequest/JsHttpRequest.js"></script>{$GLOBALS['fm']->_Link}

и затем прямо за ней вставляем следующую строку:

CODE:

<script type="text/javascript" language="JavaScript" src="javascript/sneg.js"></script>

Сохраняем и крастота Улыбка

Улыбка

Жаль только пропал с компа скрипт где падало 3 вида снежинок Недовольство, огорчение

Недовольство, огорчение

Пример работы

Все тоже самое, но картинки со снежинками - разные. В скрипте также можно изменять скорость движения снежинок и их количество.

1Bot	Отправлено: 23 декабря 2013 — 19:23 • Тема: Защита форума.. • Форум: Уязвимости
Ответов: 21 Просмотров: 15377	nikk пишет: какие именно каталоги? Можете смело записывать во все каталоги, кроме корневого, в котором установлен форум.

Отправлено: 23 декабря 2013 — 14:57 • Тема: Защита форума.. • Форум: Уязвимости

Ответов: 21
Просмотров: 15377

nikk пишет:

1Bot пишет:

1) Включение режима Safe Mode в настройках php.ini safe_mode = on.

прошу пояснить, это вообще где делается?

Смотрите файлы /etc/php5/*/php.ini (для разных режимов свои)

nikk пишет:

1Bot пишет:

Можно отключить интерпретацию php в папке uploads, или подобной, проверять заливаемые файлы.

можно поподробнее?

Если сайт как-то взломают, то скрипты (шеллы и т.д) закачают в папку с правами 777 (например в папку с картинками).
Можно через .htaccess запретить исполнения скриптов в этих папках.

Во все каталоги, доступные для записи, закачиваем (или добавляем строчки к существующему) .htaccess с содержимым:

CODE:

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

<Files ~ "\.(php[2-5]?|cgi|pl|fcgi|fpl|phtml|shtml|asp|jsp)$">
Deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

Этим самым мы отключаем PHP в данном каталоге и заставляем для скриптов закрыть доступ.
Можно конечно попробовать загрузить и перезаписать сам .htaccess. Поэтому необходимо запретить конкретно у .htaccess права на запись.

CODE:

# chmod a-w .htaccess

1Bot	Отправлено: 23 декабря 2013 — 12:52 • Тема: Защита форума.. • Форум: Уязвимости
Ответов: 21 Просмотров: 15377	Zeg пишет: Скрипты были залиты даже не в uploads, а прямо в папки forumN. Тут важно посредством чего они были залиты, чем куда они попали.

Страниц (51): В начало « ... 13 14 15 16 [17] 18 19 20 21 ... » В конец

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0299] [ ]