ForumCała strona

Nawigacja

Aktualnie online

Gości online: 21

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

piterus
30.10.2024 19:45:48
I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..." Pfft

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Zobacz temat

 Drukuj temat
Wykonywanie kodu php w custom pages
m_i_n
Mam pytanko, czy jesli zrobie z jakiegos usera admina i dam mu prawa do robienia stron informacyjnych, to czy ma on rowniez mozliwosc wstawiania kodu php? bo jesli tak to zdaje sie ze moze on wlasciwie przez odpowiednie zapytanie mysql zrobic cokolwiek z serwisem, nadac sobie prawa, zmienic hasla itd... jak to z tym jest?
 
http://www.bbproject.net
Wścibski Gość
Dodany dnia 25.11.2024 16:37:13
Pan Kontekstualny

Postów: n^x
Data rejestracji: Zawsze

Polecamy hosting SferaHost.pl
IP: localhost  
Grzes
Tak przez strony informacyjne będzie mógł wszystko. Po prostu nie dawaj nikomu dostępu do tego.
Często najmądrzejszą odpowiedzią jest milczenie krzywy.gif
 
m_i_n
To czy to nie jest mała luka w zabezpieczeniach?
 
http://www.bbproject.net
Grzes
Nie. Strony informacyjne mają dać możliwość wstawienia kodu php do strony. To samo tyczy się zarządzania panelami - daj komuś dostęp a ma takie same możliwości jak w przypadku stron informacyjnych.
Nie da się zezwolić na wykonanie kodu php jednocześnie uniemożliwiając przejęcia władzy nad stroną.
Często najmądrzejszą odpowiedzią jest milczenie krzywy.gif
 
Spoczywaj w pokoju... wlodekp
Jaka luka należy najpierw poznać zasady zarządzania bazą mysql to działa podobnie jak phpmyadmin i jak sobie wyobrażasz działanie systemu bez uprawnień do bazy, przecież wszystkie te zapytania można wykonać nie wchodząc wcale do PA skryptem połączenie z mysql i dokładnie KAŻDĄ zmianę w bazie to tylko kwestia uprawnień na mysqld danego konta użytkownika do konkretnej bazy.
Majncore załatwia kwestię połączenia i tylko tyle.
Propozycja pisania wtyczek wymaga podstaw znajomości działania i łączenia się z bazą a wspomnę jeszcze o tranzakcyjności i tunelowaniu do zdalnej pracy np w systemach FK to podstawy- gdzie Fusion to zabawa.
 
wlodekp.europa.pl
Grzes
eeee włodekp chyba nie dogadaliśmy się tu ;)

Jemu chodzi o coś w stylu:
<? $result = dbquery("UPDATE ".$db_prefix."users SET user_level=103 ....."); ?>


Nie chcę tu pisać całości bo jeszcze dzieciom zacznie się nudzić. Tak przez strony informacyjne można zrobić wszystko z bazą w której jest fusion zainstalowany.
Edytowane przez Grzes dnia 13.08.2007 10:59:13
Często najmądrzejszą odpowiedzią jest milczenie krzywy.gif
 
m_i_n
Nie. Strony informacyjne mają dać możliwość wstawienia kodu php do strony

No tak, zgadza sie, ale czy nie mozna by wprowadzic rozruznienia miedzy super adminem a adminem? Bo w takim razie calkowitym bezsensem jest panel dodawania uprawnien w fusionie, podczas gdy dodanie dostepu do custom pages praktycznie rowna sie oddaniem calego serwisu.

skryptem połączenie z mysql i dokładnie KAŻDĄ zmianę w bazie to tylko kwestia uprawnień na mysqld danego konta użytkownika do konkretnej bazy.

A ty jak zwykle piszesz cos wogole nie na temat... jak niby zwykly admin ma wgrac na server dowolny skrypt??? do tego trzeba miec dostep do ftpa.
Edytowane przez m_i_n dnia 13.08.2007 11:01:24
 
http://www.bbproject.net
Grzes
Nie da się inaczej. Dajesz uprawnienia do stron informacyjnych to tak jakbyś dał komuś możliwość wrzucenia na ftp pliku php. Po prostu nie dawaj nikomu dostępu do togo - tak to już jest zrobione.

Nie rozumiem w czym problem. Co tu da rozróżnienie miedzy SA i A?
Często najmądrzejszą odpowiedzią jest milczenie krzywy.gif
 
m_i_n
Nie rozumiem w czym problem. Co tu da rozróżnienie miedzy SA i A?

Aby zwykly admin nie mogl dodawac w custom pages kodu php... no chyba prosciej sie nie da tego wyjasnic Pfft dokladnie tak samo jak zwykly user nie moze sobie na forum dodac kodu php - ten sam rodzaj filtracji.
 
http://www.bbproject.net
Spoczywaj w pokoju... wlodekp
m_i_n to chyba logiczne, że dostęp do mysqla jest powiązany z ftp ale Tobie to chyba obce i z rzeczy oczywistych robisz problem jak zawsze zresztą
 
wlodekp.europa.pl
m_i_n
m_i_n to chyba logiczne, że dostęp do mysqla jest powiązany z ftp

Jakos nie widze tego powiazania, co ma server mysqla do servera ftp?????

Wogole to nie ma zwiazku z tematem, skoncz robic offtopic!!!!
Edytowane przez m_i_n dnia 13.08.2007 11:10:32
 
http://www.bbproject.net
Spoczywaj w pokoju... wlodekp
A to ma że konto php współpracujące z mysql wymaga umieszczenia plików na serwerze do wykonywania zapytań dla swojej działalności i to jest aksjomat ale czyba nie dla Ciebie.
Poczekamy może aż napiszesz lepszy system zabezpieczeń, bo Twoje dywagacje jak do tej pory w niczym nie usprawniły jego działania.
 
wlodekp.europa.pl
m_i_n
Masz niezle mniemanie o sobie. Server mysql nie potrzebuje zadnego konta ftp aby sie do niego zalogowac i wykonywac operacje na bazie. Wystarczy konsola mysqla oraz oczywiscie dane logowania. Niestety większosc dzieci pakietu typu "krasnal" czy innych kombajnow o tym nie wie. Tak samo, mysql nie ma zadnego zwiazku z php i nie jest to jedyna droga do operacji na bazie, a tymbardziej aksjomat. Mozna to robic jak wspomnialem z czystej konsoli lub np: z innego jezyka programowania, chocby Delphi. Albo jesli jestes hardcorowcem to z telneta po przez protokol TCP.

Server http, ftp, mysql oraz interpeter php nie sa w zaden sposob od siebie zalezne. To ze w 99% przypadkow wykozystuje sie je razem to inna sprawa.

A wogole nie mam ochoty sie z toba klucic, bo i tak wiesz lepiej wiec dla swietego spokoju powiem ze masz racje, ja sie myle i jestem glupi, pasuje ci to? mam inne problemy na glowie niz tlumaczenie ci zasad dzialania mysqla.

Grzes -> wlasnie sprawdzilem to dla pewnosci, i moge potwierdzic ze zwykly admin moze wstawiac php w custom pages. Chyba po prostu zrobie sobie jakas mala modyfikacje tego Smile i bedzie po problemie.
Edytowane przez m_i_n dnia 13.08.2007 11:29:33
 
http://www.bbproject.net
Spoczywaj w pokoju... wlodekp
Mniemanie o bsobie mam takie jakie mam o Tobie także krasnale owszem widziałem ja jeździłem jeszcze kiedyś do NRD a tTY jakie masz doświadczenie w pracy z konsolą bo wyobraż sobie, że ja akurat pracuje wyłącznie konsolą po shh zarówno w unixie z uprawnieniami roota poprzez su dla zabezpieczeń jak i mysql gdzie najpierw musiałem poznać zasady zapytań.
I życzę tobie powodzenia w pracy www bez ftp i dalszych besensownych wypowiedzi.
 
wlodekp.europa.pl
m_i_n
I życzę tobie powodzenia w pracy www bez ftp i dalszych besensownych wypowiedzi.

A ja tobie dalszego czytania bez zrozumienia.
 
http://www.bbproject.net
Spoczywaj w pokoju... wlodekp
AMEN
 
wlodekp.europa.pl
m_i_n
A czy po tym jak wlodekp narobil niepotrzebnego syfu w tym temacie mozemy wrocic do dyskusji jakiej powinien ten topic dotyczyc?
 
http://www.bbproject.net
Grzes
m_i_n napisał/a:
Grzes -> wlasnie sprawdzilem to dla pewnosci, i moge potwierdzic ze zwykly admin moze wstawiac php w custom pages. Chyba po prostu zrobie sobie jakas mala modyfikacje tego :) i bedzie po problemie.


Możesz spróbować czegoś takiego jeśli już naprawdę musisz dać możliwość jakiemuś adminowi dostęp do stron informacyjnych bez php.

Dodaj pole page_allow_php w tabeli custom_pages.
Podczas dodawania strony sprawdź czy iSUPERADMIN i wstaw 1 do tego dodanego pola jeśli tak.

W viewpage.php masz linijkę:
eval("?>".stripslashes($data['page_content'])."<?php ");


Zamień ją na:
if ($data['page_allow_php'] == 1) eval("?>".stripslashes($data['page_content'])."<?php ");
else echo stripslashes($data['page_content']);


Poza tym w administration/custom_pages.php masz linijki (70-72):
Pobierz kod źródłowy  Rozwiń Kod źródłowy


zamień na:
Pobierz kod źródłowy  Rozwiń Kod źródłowy


Admin będzie miał pełny dostęp do htmla ale bez wykonywania php. Tylko dobrze to przetestuj zanim im udostępnisz ale wydaje mi się że teraz będzie to co chciałeś uzyskać.
Często najmądrzejszą odpowiedzią jest milczenie krzywy.gif
 
m_i_n
Na poczatku chcialem wlasnie zrobic tak zeby filtrowac zawartosc przy dodawaniu strony, ale wylaczenie eval przy wyswietlaniu jest chyba prostrze Smile dzieki.
Edytowane przez Pieka dnia 13.08.2007 12:15:35
 
http://www.bbproject.net
Przejdź do forum:
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl