jo buvo laikai.. Senukai jau mes. Bega laikas greiciau nei noretusi. Smagu matyti kad uzsuka seni nariai, ne as vienas 
Saugesne PHP-Fusion sistema
- Spausdinti
- 2012-05-29
- Nekategorizuota
- 5087 Peržiūros
- 2 komentarai
1. Negalima naudoti vienodų slaptažodžių, ar tų kuriuos naudojate kituose tinklapiuose. Geriausia būtų (kaip darau ir pats) suspaudyt bet kokias raides naršyklės lange ir užsirašyti į knygutę ar .txt failiuką.
2. Patartina pasikeisti config.php failo, bei administration katalogo pavadinimus. Kaip tai padaryti? Einame į maincore.php failą, susirandame 36-43 eilutes, ten kur matote config.php failo pavadinimą, keičiam jį į savo norimą. Vėliau įeiname į FTP susirandame config.php failą, bei pakeičiame jo pavadinimą į tokį, kokį nurodėte maincore.php faile.
Pastaba: maincore.php failo pavadinimo keisti tiesiog neapsimoka! Jį galima išgauti įvedus tam tikrą kodą.
3. Kintamųjų keitimas. Atsidarome Notepad++ spaudžiam CTRL+F ir ieškome šių kintamųjų $db_host, $db_name, $db_user, $db_prefix, juos keičiame į bet kokius jūsų pasirinktus. Kai pakeičiame, atsidarome config.php failą ir ten pakeičiame juos, į tokius, kuriuos nurodėte maincore.php faile.
4. Apsauga nuo SQL atakų, tikrai naudingas dalykas, mažiausiai 60% apsaugantis nuo SQL atakų, o, kad pernelyg daug nevargti, duosiu kodą kurį reiks įterpti į maincore.php failiuką prieš kodo pabaigos simbolį ?>.
2. Patartina pasikeisti config.php failo, bei administration katalogo pavadinimus. Kaip tai padaryti? Einame į maincore.php failą, susirandame 36-43 eilutes, ten kur matote config.php failo pavadinimą, keičiam jį į savo norimą. Vėliau įeiname į FTP susirandame config.php failą, bei pakeičiame jo pavadinimą į tokį, kokį nurodėte maincore.php faile.
Pastaba: maincore.php failo pavadinimo keisti tiesiog neapsimoka! Jį galima išgauti įvedus tam tikrą kodą.
3. Kintamųjų keitimas. Atsidarome Notepad++ spaudžiam CTRL+F ir ieškome šių kintamųjų $db_host, $db_name, $db_user, $db_prefix, juos keičiame į bet kokius jūsų pasirinktus. Kai pakeičiame, atsidarome config.php failą ir ten pakeičiame juos, į tokius, kuriuos nurodėte maincore.php faile.
4. Apsauga nuo SQL atakų, tikrai naudingas dalykas, mažiausiai 60% apsaugantis nuo SQL atakų, o, kad pernelyg daug nevargti, duosiu kodą kurį reiks įterpti į maincore.php failiuką prieš kodo pabaigos simbolį ?>.
PHP
<?phpIf (preg_match("/^(.*)((.*)union(.*)|(.*)select(.*)from(.*)|(.*)drop(.*)|(.*)truncate(.*)|(.*)delete(.*)from(.*))+$/i",FUSION_QUERY)) {$msg_subject = "".USER_IP." : Bandymas įsilaužti";$message = "Lankytojas ".USER_IP." naudojantis tikslų IP adresą: (".gethostbyaddr(USER_IP).") bandė įvykdyti portalo veiklai kenksmingą užklausą. Laikas: ".showdate("%Y-%m-%d %H:%M:%S",time()).".nn. Užklausa: ".htmlspecialchars(FUSION_QUERY);$die_msg = "<center><big><big><b>TU PRIGAUTAS!</b></big></big>\n<font color='#ff0000'>Administracija ką tik gavo žinutę su jūsų IP adresu, bei kita informacija. Jūs esate blokuojamas portale visam laikui, be galimybės sugrįžti</font></center>";$result = dbquery("INSERT INTO ".$db_prefix."blacklist (blacklist_ip, blacklist_reason) VALUES ('".USER_IP."', 'Mėginimas įsibrauti į sistemą.')");$result = dbquery("INSERT INTO ".DB_PREFIX."messages (message_to, message_from, message_subject, message_message, message_smileys, message_read, message_datestamp, message_folder) VALUES ('1', '1', '$msg_subject', '$message', 'y', '0', '".time()."', '0');");die($die_msg);}?>
Rašyti komentarą
Turite prisijungti, norėdami parašyti komentarą.
Jaigu butu atvaizduojamas su bb codu geriau atrodytu :D
Bet patys ketvirto tai nenaudojate. Matyt supratote, kad tai ne apsauga, o tik dar viena skyl�, per kuri� galima nune?ti sait�. ;]