prowebber.ru - Тут есть все для настоящих вебмастеров

Чтение RSS Мы в твиттере
«    Декабрь 2016    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

Всё для вебмастера » Всё для DataLife Engine » Маленький фикс в безопасности DLE

Маленький фикс в безопасности DLE


Данный материал предоставлен сайтом ProWebber.ru исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
У нас вы можете скачать бесплатно Маленький фикс в безопасности DLE.


Маленький фикс в безопасности DLE

Смотрел только что .htaccess файл и нашел там одну небольшую опечатку...

Файл /uploads/.htaccess
Самая первая строка:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">

А именно [Ph], т.е. это упущение позволяет запускать *.phtml файлы из папки uploads. Вопрос - как они туда могут попасть, это уже другая тема. В данном случае это упущение позволяет запускать подобные файлы.

Не сложно догадаться, что чтобы исправить опечатку, достаточно тут подправить [Ph] следующим образом [Pp]. В итоге получится такая строка:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Tt][Mm][Ll])\.?">


На заметку, PHP обрабатывает *.phtml файлы так же как обычный *.php файл.
Убедиться в этом можно, посмотрев конфиг файл сервера:
AddType application/x-httpd-php .php .php5 .phtml



С уважением,
Олег Александрович a.k.a. Sander


+25
Просмотры: 3844 VIP ProWebber | Комментарии (14)
Теги: dle, fix, Sander
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1compis

  • 2 марта 2013 14:32
  • Регистрация: 4.10.2011
  • ICQ: --
  • Комментариев: 14
Так ее нужно удалить. Иначе дубль получается:
([Pp][Hh][Pp]

+1

#2Sander

  • 2 марта 2013 14:52
  • Регистрация: 19.02.2010
  • ICQ: 404037556
  • Комментариев: 324
compis,
phtml это не дубль php

--------------------

+1

#3compis

  • 2 марта 2013 15:46
  • Регистрация: 4.10.2011
  • ICQ: --
  • Комментариев: 14
Sander,
Спасибо, как-то между строк посмотрел. Это все чай виноват.

0

#4CamStyle

  • 2 марта 2013 16:20
  • Регистрация: 6.05.2010
  • ICQ: 6670833
  • Комментариев: 396
Забыл добавить что чай был китайским.

-1

#5kagorec

  • 2 марта 2013 22:59
  • Регистрация: 24.01.2010
  • ICQ: --
  • Комментариев: 76
  • Выкл.
Цитата: CamStyle
Забыл добавить что чай был китайским.

Собранный индийскими девственницами на правом берегу Нила

-1

#6Myst1cal

  • 3 марта 2013 03:31
  • Регистрация: 7.05.2010
  • ICQ: --
  • Комментариев: 19
kagorec, тогда уже египетскими девственницами, иначе чай получится очень дорогой, везти индусок в Северную Африку)))

0

#7compis

  • 3 марта 2013 11:51
  • Регистрация: 4.10.2011
  • ICQ: --
  • Комментариев: 14
biggrin Пил обычный чай, даже не подозревая, что его собирали девственницы. Причем сборная девственниц - Индуски, Египтянки...

+1

#8D0Gmatist

  • 3 марта 2013 12:35
  • Регистрация: 28.07.2012
  • ICQ: --
  • Комментариев: 297
  • Выкл.
А в друг это были евнухи?! bo

--------------------

+1

#9naladchik

  • 3 марта 2013 12:54
  • Регистрация: 12.09.2010
  • ICQ: 598585676
  • Комментариев: 159
  • Выкл.
И тема плавно переросла в тему любителей чая. chok

+5

#10milky

  • 4 марта 2013 15:31
  • Регистрация: 6.11.2010
  • ICQ: --
  • Комментариев: 3
может я чтото недопонимаю, можете меня закидать помидорами :D, но во первых, в админке запрещена загрузка phtml, во-первых, во-вторых, даже когда я разрешил загрузку phtml, мне загрузчик файлов DLE-шный всеравно пишет что нельзя такое загружать..так как же тогда загрузить phtml на сервер без загрузчика файлов DLE?

0

#11Sander

  • 4 марта 2013 16:48
  • Регистрация: 19.02.2010
  • ICQ: 404037556
  • Комментариев: 324
milky, Если вы не умеете этого делать, это не значит, что и другие не могут.

--------------------

0

#12Min-Z-Drav

  • 9 марта 2013 17:12
  • Регистрация: 14.09.2010
  • ICQ: 60135505
  • Комментариев: 50
  • Выкл.
Sander, у меня на днях кто то загрузил в папку /uploads/ файл addnews.php оказался shell

--------------------

0

#13tizerlab

  • 8 июня 2013 13:21
  • Регистрация: 5.05.2012
  • ICQ: --
  • Комментариев: 37
А мне кажется что это вовсе и не опечатка, сам разработчик видимо спецом дыры оставляет...

0

#14Sander

  • 31 августа 2013 20:52
  • Регистрация: 19.02.2010
  • ICQ: 404037556
  • Комментариев: 324
tizerlab, маловероятно. Даже не смотря на то, что точно такая же опечатка осталась в DLE 10, но уже в другом файле.
(Обновил статью у себя на блоге)

--------------------

0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.

Max-energy.top - Заработок на электросчетчиках;)

Skripters.info - все для вебмастера. Только эксклюзивный контент.

Создание шаблонов DLE, быстро и недорого! 3wave.com.ua

Бро лей на лучшую партнёрку

Почти бесплатный VDS хостинг!

Seo продвижение сайта

Бизнес в интернете: комплексное решение от создания сайта до прибыли

prime-studio.com.ua


Визитка автоинструктора

Визитки. Студия рекламы Yava Print

bx-store.ru


бетон купить с доставкой цена

beton7kubov.ru


Поддержи сайт
Скрипты, cms, шаблоны, статьи по раскрутке

Опросы

Как часто вы бываете на сайте?

Захожу 1-2 раза в день
1-2 часа в сутки
Более 2 часов
Почти целый день тут smile

Архив новостей
Ноябрь 2016 (7)
Октябрь 2016 (10)
Сентябрь 2016 (8)
Август 2016 (11)
Июль 2016 (14)
Июнь 2016 (17)

Последние комментарии:

Искать людей

Ваши переписки