Провеббер » DataLife Engine » Маленький фикс в безопасности DLE

Набор в команду! Ведется набор в команду, для наполнения сайта новым, интересным контентом. Если у тебя есть предложения, свободное время, ты обладаешь интересным контентом, и хочешь поделиться с другими?

Обращайся к нам в ЛС группы Вконтакте.

Маленький фикс в безопасности DLE

Автор: Sander 2013-3-02 DataLife Engine

Данный материал предоставлен сайтом ProWebber.cc исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.

Скачать бесплатно Маленький фикс в безопасности DLE.

Смотрел только что .htaccess файл и нашел там одну небольшую опечатку...

Файл /uploads/.htaccess
Самая первая строка:

А именно [Ph], т.е. это упущение позволяет запускать *.phtml файлы из папки uploads. Вопрос - как они туда могут попасть, это уже другая тема. В данном случае это упущение позволяет запускать подобные файлы.

Не сложно догадаться, что чтобы исправить опечатку, достаточно тут подправить [Ph] следующим образом [Pp]. В итоге получится такая строка:

На заметку, PHP обрабатывает *.phtml файлы так же как обычный *.php файл.
Убедиться в этом можно, посмотрев конфиг файл сервера:

AddType application/x-httpd-php .php .php5 .phtml

С уважением,
Олег Александрович a.k.a. Sander

Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных

+25

Просмотры: 5 609 :: Комментарии (14) :: :: Нужна помощь? Задайте вопрос на форуме ::

Теги: dle, fix, Sander

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1compis

2 марта 2013 14:32
Регистрация: 4.10.2011

Был(а) онлайн: 22.02.2024
Комментариев: 17

Так ее нужно удалить. Иначе дубль получается:
([Pp][Hh][Pp]

#2Sander

2 марта 2013 14:52
Регистрация: 19.02.2010

Был(а) онлайн: 20.04.2021
Комментариев: 327

compis,
phtml это не дубль php

--------------------

SanDev.pro - мой обновленный скромный блог

#3compis

2 марта 2013 15:46
Регистрация: 4.10.2011

Был(а) онлайн: 22.02.2024
Комментариев: 17

Sander,
Спасибо, как-то между строк посмотрел. Это все чай виноват.

#4CamStyle

2 марта 2013 16:20
Регистрация: 6.05.2010

Был(а) онлайн: 19.03.2014
Комментариев: 394

-1

Забыл добавить что чай был китайским.

#5kagorec

2 марта 2013 22:59
Регистрация: 24.01.2010

Был(а) онлайн: 17.08.2020
Комментариев: 76

-1

Цитата: CamStyle

Забыл добавить что чай был китайским.

Собранный индийскими девственницами на правом берегу Нила

#6Myst1cal

3 марта 2013 03:31
Регистрация: 7.05.2010

Был(а) онлайн: 10.11.2014
Комментариев: 19

kagorec, тогда уже египетскими девственницами, иначе чай получится очень дорогой, везти индусок в Северную Африку)))

#7compis

3 марта 2013 11:51
Регистрация: 4.10.2011

Был(а) онлайн: 22.02.2024
Комментариев: 17

Пил обычный чай, даже не подозревая, что его собирали девственницы. Причем сборная девственниц - Индуски, Египтянки...

#8D0Gmatist

3 марта 2013 12:35
Регистрация: 28.07.2012

Был(а) онлайн: 24.06.2021
Комментариев: 291

А в друг это были евнухи?!

--------------------

Сайт: http://d0gmatist.pro
Разработки на: mySQL, PHP, JS (+jQuery и другие framework), CSS, HTML(+HTML5)
Skype: D0Gmatist (принимаю заказы только по модулям и только в том случае если интересная идея)

#9naladchik

3 марта 2013 12:54
Регистрация: 12.09.2010

Был(а) онлайн: 8.02.2023
Комментариев: 159

И тема плавно переросла в тему любителей чая. chok

#10milky

4 марта 2013 15:31
Регистрация: 6.11.2010

Был(а) онлайн: 30.01.2015
Комментариев: 3

может я чтото недопонимаю, можете меня закидать помидорами :D, но во первых, в админке запрещена загрузка phtml, во-первых, во-вторых, даже когда я разрешил загрузку phtml, мне загрузчик файлов DLE-шный всеравно пишет что нельзя такое загружать..так как же тогда загрузить phtml на сервер без загрузчика файлов DLE?

#11Sander

4 марта 2013 16:48
Регистрация: 19.02.2010

Был(а) онлайн: 20.04.2021
Комментариев: 327

milky, Если вы не умеете этого делать, это не значит, что и другие не могут.

--------------------

SanDev.pro - мой обновленный скромный блог

#12Min-Z-Drav

9 марта 2013 17:12
Регистрация: 14.09.2010

Был(а) онлайн: 16.10.2018
Комментариев: 51

Sander, у меня на днях кто то загрузил в папку /uploads/ файл addnews.php оказался shell

--------------------

#13tizerlab

8 июня 2013 13:21
Регистрация: 5.05.2012

Был(а) онлайн: 8.09.2014
Комментариев: 37

А мне кажется что это вовсе и не опечатка, сам разработчик видимо спецом дыры оставляет...

#14Sander

31 августа 2013 20:52
Регистрация: 19.02.2010

Был(а) онлайн: 20.04.2021
Комментариев: 327

tizerlab, маловероятно. Даже не смотря на то, что точно такая же опечатка осталась в DLE 10, но уже в другом файле.
(Обновил статью у себя на блоге)

--------------------

SanDev.pro - мой обновленный скромный блог

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Архив новостей

Ноябрь 2024 (1)
Октябрь 2024 (171)
Сентябрь 2024 (13)
Август 2024 (61)
Июль 2024 (12)
Июнь 2024 (30)

Показать / скрыть весь архив

Друзья сайта

prowebber.cc - Тут есть все для настоящих вебмастеров

Маленький фикс в безопасности DLE

Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных

#1compis

#2Sander

#3compis

#4CamStyle

#5kagorec

#6Myst1cal

#7compis

#8D0Gmatist

#9naladchik

#10milky

#11Sander

#12Min-Z-Drav

#13tizerlab

#14Sander

Последние комментарии:

Популярные статьи

Маленький фикс в безопасности DLE

Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных

Рекомендуем также:

Последние комментарии:

Популярные статьи