Zobacz temat
Wykonywanie kodu php w custom pages
|
|
m_i_n |
Dodany dnia 12.08.2007 21:52:57
|
Bywalec Postów: 836 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
Mam pytanko, czy jesli zrobie z jakiegos usera admina i dam mu prawa do robienia stron informacyjnych, to czy ma on rowniez mozliwosc wstawiania kodu php? bo jesli tak to zdaje sie ze moze on wlasciwie przez odpowiednie zapytanie mysql zrobic cokolwiek z serwisem, nadac sobie prawa, zmienic hasla itd... jak to z tym jest?
|
|
|
Wścibski Gość |
Dodany dnia 25.11.2024 16:37:13
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
IP: localhost | |
Grzes |
Dodany dnia 12.08.2007 21:55:23
|
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
Tak przez strony informacyjne będzie mógł wszystko. Po prostu nie dawaj nikomu dostępu do tego.
Często najmądrzejszą odpowiedzią jest milczenie
|
|
|
m_i_n |
Dodany dnia 13.08.2007 10:23:37
|
Bywalec Postów: 836 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
To czy to nie jest mała luka w zabezpieczeniach?
|
|
|
Grzes |
Dodany dnia 13.08.2007 10:45:20
|
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
Nie. Strony informacyjne mają dać możliwość wstawienia kodu php do strony. To samo tyczy się zarządzania panelami - daj komuś dostęp a ma takie same możliwości jak w przypadku stron informacyjnych. Nie da się zezwolić na wykonanie kodu php jednocześnie uniemożliwiając przejęcia władzy nad stroną. Często najmądrzejszą odpowiedzią jest milczenie
|
|
|
wlodekp |
Dodany dnia 13.08.2007 10:55:07
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
Jaka luka należy najpierw poznać zasady zarządzania bazą mysql to działa podobnie jak phpmyadmin i jak sobie wyobrażasz działanie systemu bez uprawnień do bazy, przecież wszystkie te zapytania można wykonać nie wchodząc wcale do PA skryptem połączenie z mysql i dokładnie KAŻDĄ zmianę w bazie to tylko kwestia uprawnień na mysqld danego konta użytkownika do konkretnej bazy. Majncore załatwia kwestię połączenia i tylko tyle. Propozycja pisania wtyczek wymaga podstaw znajomości działania i łączenia się z bazą a wspomnę jeszcze o tranzakcyjności i tunelowaniu do zdalnej pracy np w systemach FK to podstawy- gdzie Fusion to zabawa. |
|
|
Grzes |
Dodany dnia 13.08.2007 10:59:01
|
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
eeee włodekp chyba nie dogadaliśmy się tu ;) Jemu chodzi o coś w stylu: <? $result = dbquery("UPDATE ".$db_prefix."users SET user_level=103 ....."); ?> Nie chcę tu pisać całości bo jeszcze dzieciom zacznie się nudzić. Tak przez strony informacyjne można zrobić wszystko z bazą w której jest fusion zainstalowany. Edytowane przez Grzes dnia 13.08.2007 10:59:13 Często najmądrzejszą odpowiedzią jest milczenie
|
|
|
m_i_n |
Dodany dnia 13.08.2007 11:00:17
|
Bywalec Postów: 836 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
Nie. Strony informacyjne mają dać możliwość wstawienia kodu php do strony No tak, zgadza sie, ale czy nie mozna by wprowadzic rozruznienia miedzy super adminem a adminem? Bo w takim razie calkowitym bezsensem jest panel dodawania uprawnien w fusionie, podczas gdy dodanie dostepu do custom pages praktycznie rowna sie oddaniem calego serwisu. skryptem połączenie z mysql i dokładnie KAŻDĄ zmianę w bazie to tylko kwestia uprawnień na mysqld danego konta użytkownika do konkretnej bazy. A ty jak zwykle piszesz cos wogole nie na temat... jak niby zwykly admin ma wgrac na server dowolny skrypt??? do tego trzeba miec dostep do ftpa. Edytowane przez m_i_n dnia 13.08.2007 11:01:24 |
|
|
Grzes |
Dodany dnia 13.08.2007 11:04:31
|
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
Nie da się inaczej. Dajesz uprawnienia do stron informacyjnych to tak jakbyś dał komuś możliwość wrzucenia na ftp pliku php. Po prostu nie dawaj nikomu dostępu do togo - tak to już jest zrobione. Nie rozumiem w czym problem. Co tu da rozróżnienie miedzy SA i A? Często najmądrzejszą odpowiedzią jest milczenie
|
|
|
m_i_n |
Dodany dnia 13.08.2007 11:06:36
|
Bywalec Postów: 836 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
Nie rozumiem w czym problem. Co tu da rozróżnienie miedzy SA i A? Aby zwykly admin nie mogl dodawac w custom pages kodu php... no chyba prosciej sie nie da tego wyjasnic dokladnie tak samo jak zwykly user nie moze sobie na forum dodac kodu php - ten sam rodzaj filtracji. |
|
|
wlodekp |
Dodany dnia 13.08.2007 11:08:31
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
m_i_n to chyba logiczne, że dostęp do mysqla jest powiązany z ftp ale Tobie to chyba obce i z rzeczy oczywistych robisz problem jak zawsze zresztą
|
|
|
m_i_n |
Dodany dnia 13.08.2007 11:09:48
|
Bywalec Postów: 836 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
m_i_n to chyba logiczne, że dostęp do mysqla jest powiązany z ftp Jakos nie widze tego powiazania, co ma server mysqla do servera ftp????? Wogole to nie ma zwiazku z tematem, skoncz robic offtopic!!!! Edytowane przez m_i_n dnia 13.08.2007 11:10:32 |
|
|
wlodekp |
Dodany dnia 13.08.2007 11:17:00
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
A to ma że konto php współpracujące z mysql wymaga umieszczenia plików na serwerze do wykonywania zapytań dla swojej działalności i to jest aksjomat ale czyba nie dla Ciebie. Poczekamy może aż napiszesz lepszy system zabezpieczeń, bo Twoje dywagacje jak do tej pory w niczym nie usprawniły jego działania. |
|
|
m_i_n |
Dodany dnia 13.08.2007 11:26:20
|
Bywalec Postów: 836 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
Masz niezle mniemanie o sobie. Server mysql nie potrzebuje zadnego konta ftp aby sie do niego zalogowac i wykonywac operacje na bazie. Wystarczy konsola mysqla oraz oczywiscie dane logowania. Niestety większosc dzieci pakietu typu "krasnal" czy innych kombajnow o tym nie wie. Tak samo, mysql nie ma zadnego zwiazku z php i nie jest to jedyna droga do operacji na bazie, a tymbardziej aksjomat. Mozna to robic jak wspomnialem z czystej konsoli lub np: z innego jezyka programowania, chocby Delphi. Albo jesli jestes hardcorowcem to z telneta po przez protokol TCP. Server http, ftp, mysql oraz interpeter php nie sa w zaden sposob od siebie zalezne. To ze w 99% przypadkow wykozystuje sie je razem to inna sprawa. A wogole nie mam ochoty sie z toba klucic, bo i tak wiesz lepiej wiec dla swietego spokoju powiem ze masz racje, ja sie myle i jestem glupi, pasuje ci to? mam inne problemy na glowie niz tlumaczenie ci zasad dzialania mysqla. Grzes -> wlasnie sprawdzilem to dla pewnosci, i moge potwierdzic ze zwykly admin moze wstawiac php w custom pages. Chyba po prostu zrobie sobie jakas mala modyfikacje tego i bedzie po problemie. Edytowane przez m_i_n dnia 13.08.2007 11:29:33 |
|
|
wlodekp |
Dodany dnia 13.08.2007 11:34:42
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
Mniemanie o bsobie mam takie jakie mam o Tobie także krasnale owszem widziałem ja jeździłem jeszcze kiedyś do NRD a tTY jakie masz doświadczenie w pracy z konsolą bo wyobraż sobie, że ja akurat pracuje wyłącznie konsolą po shh zarówno w unixie z uprawnieniami roota poprzez su dla zabezpieczeń jak i mysql gdzie najpierw musiałem poznać zasady zapytań. I życzę tobie powodzenia w pracy www bez ftp i dalszych besensownych wypowiedzi. |
|
|
m_i_n |
Dodany dnia 13.08.2007 11:38:03
|
Bywalec Postów: 836 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
I życzę tobie powodzenia w pracy www bez ftp i dalszych besensownych wypowiedzi. A ja tobie dalszego czytania bez zrozumienia. |
|
|
wlodekp |
Dodany dnia 13.08.2007 11:40:59
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
AMEN
|
|
|
m_i_n |
Dodany dnia 13.08.2007 11:42:56
|
Bywalec Postów: 836 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
A czy po tym jak wlodekp narobil niepotrzebnego syfu w tym temacie mozemy wrocic do dyskusji jakiej powinien ten topic dotyczyc?
|
|
|
Grzes |
Dodany dnia 13.08.2007 11:49:06
|
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
m_i_n napisał/a: Grzes -> wlasnie sprawdzilem to dla pewnosci, i moge potwierdzic ze zwykly admin moze wstawiac php w custom pages. Chyba po prostu zrobie sobie jakas mala modyfikacje tego :) i bedzie po problemie. Możesz spróbować czegoś takiego jeśli już naprawdę musisz dać możliwość jakiemuś adminowi dostęp do stron informacyjnych bez php. Dodaj pole page_allow_php w tabeli custom_pages. Podczas dodawania strony sprawdź czy iSUPERADMIN i wstaw 1 do tego dodanego pola jeśli tak. W viewpage.php masz linijkę: eval("?>".stripslashes($data['page_content'])."<?php "); Zamień ją na: if ($data['page_allow_php'] == 1) eval("?>".stripslashes($data['page_content'])."<?php "); else echo stripslashes($data['page_content']); Poza tym w administration/custom_pages.php masz linijki (70-72): zamień na: Admin będzie miał pełny dostęp do htmla ale bez wykonywania php. Tylko dobrze to przetestuj zanim im udostępnisz ale wydaje mi się że teraz będzie to co chciałeś uzyskać. Często najmądrzejszą odpowiedzią jest milczenie
|
|
|
m_i_n |
Dodany dnia 13.08.2007 11:51:38
|
Bywalec Postów: 836 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
Na poczatku chcialem wlasnie zrobic tak zeby filtrowac zawartosc przy dodawaniu strony, ale wylaczenie eval przy wyswietlaniu jest chyba prostrze dzieki.
Edytowane przez Pieka dnia 13.08.2007 12:15:35 |
|
Przejdź do forum: |