prowebber.ru - Тут есть все для настоящих вебмастеров

Чтение RSS Мы в твиттере
«    Декабрь 2016    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

Всё для вебмастера » Всё для DataLife Engine » Релизы DLE » Недостаточная фильтрация в модуле Переходы от 10.09.2011

Недостаточная фильтрация в модуле Переходы от 10.09.2011


Данный материал предоставлен сайтом ProWebber.ru исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
У нас вы можете скачать бесплатно Недостаточная фильтрация в модуле Переходы от 10.09.2011.


Недостаточная фильтрация в модуле Переходы от 10.09.2011


Ошибка в версии: все версии

Степень опасности: Высокая

Для исправления откройте файл engine/modules/referer.php и найдите:

if(preg_match("/[<][\/a-zA-Z]+(.*?)[>]/", urldecode(rawurldecode($http_referer)))) {
die ( "Переход заблокирован, перенаправление:<br /><br />Пожалуйста, нажмите <a href=\"{$request_uri}\">сюда</a>." );
}


Ниже добавьте:

if(preg_match("/[<][\/a-zA-Z]+(.*?)[>]/", urldecode(rawurldecode($request_uri)))) {
die ( "Переход заблокирован, перенаправление:<br /><br />Пожалуйста, нажмите <a href=\"{$config['http_home_url']}\">сюда</a>." );
}

if(preg_match("/[<][\/a-zA-Z]+(.*?)[>]/", $_SERVER['HTTP_USER_AGENT'])) {
die ( "Переход заблокирован, перенаправление:<br /><br />Пожалуйста, нажмите <a href=\"{$config['http_home_url']}\">сюда</a>." );
}


Немного ниже найдите

if (checkurl($http_referer) != "false") {


ВЫШЕ добавьте:

$request_uri = $db->safesql( trim( htmlspecialchars( strip_tags( $request_uri ) ) ) );


Ниже найдите:

$rblock = str_replace( '[slink]', "<a href=\"".$row['uri']."\">", $rblock );


Замените на:

$rblock = str_replace( '[slink]', "<a href=\"".strip_tags($row['uri'])."\">", $rblock );


Найдите:

$user_agent = $_SERVER['HTTP_USER_AGENT'];


Замените на:

$user_agent = @$db->safesql( htmlspecialchars( strip_tags( stripslashes( trim( $_SERVER['HTTP_USER_AGENT'] ) ) ), ENT_QUOTES ) );


+1
Просмотры: 1891 VIP ProWebber | Комментарии (19)
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1webil

  • 13 сентября 2011 19:43
  • Регистрация: 21.10.2010
  • ICQ: --
  • Комментариев: 209
поэтому я к чертям модуль этот снял!

0

#2UkrDimon

  • 13 сентября 2011 19:53
  • Регистрация: 7.11.2010
  • ICQ: 621983937
  • Комментариев: 121
webil,
Многие люди его сняли))))но я не не снял,пускай стоит))

0

#3hell

  • 13 сентября 2011 21:11
  • Регистрация: 12.09.2010
  • ICQ: --
  • Комментариев: 90
  • Выкл.
UkrDimon,Адрес сайта напиши. Помогут снять

0

#4UkrDimon

  • 13 сентября 2011 21:23
  • Регистрация: 7.11.2010
  • ICQ: 621983937
  • Комментариев: 121
Цитата: hell
UkrDimon,Адрес сайта напиши. Помогут снять

Да я его и сам сниму))не хочу просто ))

0

#5account

  • 13 сентября 2011 21:41
  • Регистрация: 11.09.2010
  • ICQ: --
  • Комментариев: 4
у меня стоит версия 8.4
в файле referer.php нету двух последних строк
$rblock = str_replace( '[slink]', "<a href=\"".$row['uri']."\">", $rblock );

и
$user_agent = $_SERVER['HTTP_USER_AGENT'];

что делать?
помогите.

0

#6UkrDimon

  • 13 сентября 2011 22:21
  • Регистрация: 7.11.2010
  • ICQ: 621983937
  • Комментариев: 121
Уже 70+просмотров и не одного +(:

0

#7Mel

  • 13 сентября 2011 22:32
  • Регистрация: 8.04.2010
  • ICQ: 565027139
  • Комментариев: 377
Почемуто я нисколько не удивился этой новости, через "переходы" уже столько сайтов ломанули, что модуль оправдывает свое название.

0

#8Saneka2692

  • 13 сентября 2011 22:47
  • Регистрация: 2.10.2010
  • ICQ: --
  • Комментариев: 56
Цитата: UkrDimon
Многие люди его сняли))))но я не не снял,пускай стоит))

Когда сайт твой снимут уже поздно будет))

0

#9UkrDimon

  • 13 сентября 2011 22:48
  • Регистрация: 7.11.2010
  • ICQ: 621983937
  • Комментариев: 121
Mel,
А каким образом сайты то ламанули из-за модуля)???

Цитата: Saneka2692
Когда сайт твой снимут уже поздно будет))

Епть вы меня запугали))всё пошол модуль с сайт нах снимать пока не поздно)

0

#10Fta1050

  • 13 сентября 2011 22:49
  • Регистрация: 5.05.2010
  • ICQ: 1324360
  • Комментариев: 139
Гнали траф с твоего на свой...

--------------------

0

#11skifa

  • 13 сентября 2011 23:37
  • Регистрация: 11.04.2011
  • ICQ: --
  • Комментариев: 35
зря только покупал когда-то этот гавномодуль! сам от него отказался недавно и не жалею! с каждой версией одни баги находят ...

0

#12Saneka2692

  • 13 сентября 2011 23:41
  • Регистрация: 2.10.2010
  • ICQ: --
  • Комментариев: 56
Цитата: UkrDimon
Епть вы меня запугали))всё пошол модуль с сайт нах снимать пока не поздно)

Нет, я не запугивал. Меня часто ломали с этим модулем, можно сказать жить спокойно не давали. Как только снёс модуль к чертям, всё прекратилось. (может совпадение конечно, но я в такие совпадения не верю.
Судить вам.

0

#13UkrDimon

  • 13 сентября 2011 23:56
  • Регистрация: 7.11.2010
  • ICQ: 621983937
  • Комментариев: 121
Saneka2692,
Да всё же я модуль убрал с сайта своего))Бог береженого бережет!

0

#14ko1yan

  • 14 сентября 2011 00:42
  • Регистрация: 7.03.2010
  • ICQ: --
  • Комментариев: 9
При отключенном выводе блоке проблем не будет, в версии 9.2 проблем не будет (через недельку я сделаю, в надежде сразу после выхода DLE 9.4). Я не машина, у любого человека может быть ошибка, но к сведению, после найденной ошибки фикс был написан через час. Не я делаю баги в модуле, а в основном сам PHP

--------------------

0

#15Lenivo

  • 14 сентября 2011 00:47
  • Регистрация: 30.08.2011
  • ICQ: --
  • Комментариев: 136
Жалко конечно, удобный был модулек, но надоело каждый день на сайт автора заходить и смотреть не вылезла ли новая дыра. Снес.

Кстати, с модулем "на линии" та же фигня - латайте дыры...

0

#16soulman

  • 14 сентября 2011 13:12
  • Регистрация: 14.04.2011
  • ICQ: --
  • Комментариев: 77
убейте этого разраба к чертям. я больше чем уверен, что он сам эти дыры и делает.... diablo славо богу ни когда не ставил этот модуль, как то не вижу смысла в нем вообще.

0

#17account

  • 14 сентября 2011 20:11
  • Регистрация: 11.09.2010
  • ICQ: --
  • Комментариев: 4
у меня стоит версия 8.4
в файле referer.php нету двух последних строк:
$rblock = str_replace( '[slink]', "<a href=\"".$row['uri']."\">", $rblock );

и
$user_agent = $_SERVER['HTTP_USER_AGENT'];

что делать?
помогите.

0

#18Delacrua

  • 14 сентября 2011 21:57
  • Регистрация: 14.10.2010
  • ICQ: 330933
  • Комментариев: 278
  • Выкл.
Модулю уже 4 года, все дырки в модуле зашиваем... Вот вам наглядный пример, что все эти модули вообще ставить не надо. DLE без модулей взламывают, по себе знаю, а уж с модуля то уж наверное совсем беда.

--------------------

0

#19infosite

  • 15 сентября 2011 11:47
  • Регистрация: 13.09.2010
  • ICQ: --
  • Комментариев: 76
человек старался а вы его dash

--------------------

0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.

Max-energy.top - Заработок на электросчетчиках;)

Skripters.info - все для вебмастера. Только эксклюзивный контент.

Создание шаблонов DLE, быстро и недорого! 3wave.com.ua

Бро лей на лучшую партнёрку

Почти бесплатный VDS хостинг!

Поддержи сайт
Скрипты, cms, шаблоны, статьи по раскрутке

Опросы

Как часто вы бываете на сайте?

Захожу 1-2 раза в день
1-2 часа в сутки
Более 2 часов
Почти целый день тут smile

Архив новостей
Ноябрь 2016 (7)
Октябрь 2016 (10)
Сентябрь 2016 (8)
Август 2016 (11)
Июль 2016 (14)
Июнь 2016 (17)

Последние комментарии:

Искать людей

Ваши переписки