Zobacz temat
 Wykonywanie kodu php w custom pages
|
|
| m_i_n |
Dodany dnia 12.08.2007 21:52:57
|
 Bywalec  Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
Mam pytanko, czy jesli zrobie z jakiegos usera admina i dam mu prawa do robienia stron informacyjnych, to czy ma on rowniez mozliwosc wstawiania kodu php? bo jesli tak to zdaje sie ze moze on wlasciwie przez odpowiednie zapytanie mysql zrobic cokolwiek z serwisem, nadac sobie prawa, zmienic hasla itd... jak to z tym jest?
Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu
|
 |
|
| W?cibski Go?? |
Dodany dnia 10.09.2025 09:03:08
|
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
| IP: localhost | |
| Grzes |
Dodany dnia 12.08.2007 21:55:23
|
 Zaawansowany  Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
Tak przez strony informacyjne b?dzie móg? wszystko. Po prostu nie dawaj nikomu dost?pu do tego.
Cz?sto najm?drzejsz? odpowiedzi? jest milczenie
 |
|
|
| m_i_n |
Dodany dnia 13.08.2007 10:23:37
|
|
Bywalec Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
To czy to nie jest ma?a luka w zabezpieczeniach?
Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu
|
|
|
|
| Grzes |
Dodany dnia 13.08.2007 10:45:20
|
|
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
Nie. Strony informacyjne maj? da? mo?liwo?? wstawienia kodu php do strony. To samo tyczy si? zarz?dzania panelami - daj komu? dost?p a ma takie same mo?liwo?ci jak w przypadku stron informacyjnych. Nie da si? zezwoli? na wykonanie kodu php jednocze?nie uniemo?liwiaj?c przej?cia w?adzy nad stron?. Cz?sto najm?drzejsz? odpowiedzi? jest milczenie
|
|
|
|
 wlodekp |
Dodany dnia 13.08.2007 10:55:07
|
 Weteran  Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
Jaka luka nale?y najpierw pozna? zasady zarz?dzania baz? mysql to dzia?a podobnie jak phpmyadmin i jak sobie wyobra?asz dzia?anie systemu bez uprawnie? do bazy, przecie? wszystkie te zapytania mo?na wykona? nie wchodz?c wcale do PA skryptem po??czenie z mysql i dok?adnie KA?D? zmian? w bazie to tylko kwestia uprawnie? na mysqld danego konta u?ytkownika do konkretnej bazy. Majncore za?atwia kwesti? po??czenia i tylko tyle. Propozycja pisania wtyczek wymaga podstaw znajomo?ci dzia?ania i ??czenia si? z baz? a wspomn? jeszcze o tranzakcyjno?ci i tunelowaniu do zdalnej pracy np w systemach FK to podstawy- gdzie Fusion to zabawa. |
|
|
| Grzes |
Dodany dnia 13.08.2007 10:59:01
|
|
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
eeee w?odekp chyba nie dogadali?my si? tu ;) Jemu chodzi o co? w stylu: <? $result = dbquery("UPDATE ".$db_prefix."users SET user_level=103 ....."); ?> Nie chc? tu pisa? ca?o?ci bo jeszcze dzieciom zacznie si? nudzi?. Tak przez strony informacyjne mo?na zrobi? wszystko z baz? w której jest fusion zainstalowany. Edytowane przez Grzes dnia 13.08.2007 10:59:13 Cz?sto najm?drzejsz? odpowiedzi? jest milczenie
|
|
|
|
| m_i_n |
Dodany dnia 13.08.2007 11:00:17
|
|
Bywalec Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
Nie. Strony informacyjne maj? da? mo?liwo?? wstawienia kodu php do strony No tak, zgadza sie, ale czy nie mozna by wprowadzic rozruznienia miedzy super adminem a adminem? Bo w takim razie calkowitym bezsensem jest panel dodawania uprawnien w fusionie, podczas gdy dodanie dostepu do custom pages praktycznie rowna sie oddaniem calego serwisu. skryptem po??czenie z mysql i dok?adnie KA?D? zmian? w bazie to tylko kwestia uprawnie? na mysqld danego konta u?ytkownika do konkretnej bazy. A ty jak zwykle piszesz cos wogole nie na temat... jak niby zwykly admin ma wgrac na server dowolny skrypt??? do tego trzeba miec dostep do ftpa. Edytowane przez m_i_n dnia 13.08.2007 11:01:24 Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu
|
|
|
|
| Grzes |
Dodany dnia 13.08.2007 11:04:31
|
|
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
Nie da si? inaczej. Dajesz uprawnienia do stron informacyjnych to tak jakby? da? komu? mo?liwo?? wrzucenia na ftp pliku php. Po prostu nie dawaj nikomu dost?pu do togo - tak to ju? jest zrobione. Nie rozumiem w czym problem. Co tu da rozró?nienie miedzy SA i A? Cz?sto najm?drzejsz? odpowiedzi? jest milczenie
|
|
|
|
| m_i_n |
Dodany dnia 13.08.2007 11:06:36
|
|
Bywalec Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
Nie rozumiem w czym problem. Co tu da rozró?nienie miedzy SA i A? Aby zwykly admin nie mogl dodawac w custom pages kodu php... no chyba prosciej sie nie da tego wyjasnic  dokladnie tak samo jak zwykly user nie moze sobie na forum dodac kodu php - ten sam rodzaj filtracji.
Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu
|
|
|
|
| wlodekp |
Dodany dnia 13.08.2007 11:08:31
|
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
m_i_n to chyba logiczne, ?e dost?p do mysqla jest powi?zany z ftp ale Tobie to chyba obce i z rzeczy oczywistych robisz problem jak zawsze zreszt?
|
|
|
|
| m_i_n |
Dodany dnia 13.08.2007 11:09:48
|
|
Bywalec Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
m_i_n to chyba logiczne, ?e dost?p do mysqla jest powi?zany z ftp Jakos nie widze tego powiazania, co ma server mysqla do servera ftp????? Wogole to nie ma zwiazku z tematem, skoncz robic offtopic!!!! Edytowane przez m_i_n dnia 13.08.2007 11:10:32 Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu
|
|
|
|
| wlodekp |
Dodany dnia 13.08.2007 11:17:00
|
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
A to ma ?e konto php wspó?pracuj?ce z mysql wymaga umieszczenia plików na serwerze do wykonywania zapyta? dla swojej dzia?alno?ci i to jest aksjomat ale czyba nie dla Ciebie. Poczekamy mo?e a? napiszesz lepszy system zabezpiecze?, bo Twoje dywagacje jak do tej pory w niczym nie usprawni?y jego dzia?ania. |
|
|
|
| m_i_n |
Dodany dnia 13.08.2007 11:26:20
|
|
Bywalec Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
Masz niezle mniemanie o sobie. Server mysql nie potrzebuje zadnego konta ftp aby sie do niego zalogowac i wykonywac operacje na bazie. Wystarczy konsola mysqla oraz oczywiscie dane logowania. Niestety wi?kszosc dzieci pakietu typu "krasnal" czy innych kombajnow o tym nie wie. Tak samo, mysql nie ma zadnego zwiazku z php i nie jest to jedyna droga do operacji na bazie, a tymbardziej aksjomat. Mozna to robic jak wspomnialem z czystej konsoli lub np: z innego jezyka programowania, chocby Delphi. Albo jesli jestes hardcorowcem to z telneta po przez protokol TCP. Server http, ftp, mysql oraz interpeter php nie sa w zaden sposob od siebie zalezne. To ze w 99% przypadkow wykozystuje sie je razem to inna sprawa. A wogole nie mam ochoty sie z toba klucic, bo i tak wiesz lepiej wiec dla swietego spokoju powiem ze masz racje, ja sie myle i jestem glupi, pasuje ci to? mam inne problemy na glowie niz tlumaczenie ci zasad dzialania mysqla. Grzes -> wlasnie sprawdzilem to dla pewnosci, i moge potwierdzic ze zwykly admin moze wstawiac php w custom pages. Chyba po prostu zrobie sobie jakas mala modyfikacje tego  i bedzie po problemie.
Edytowane przez m_i_n dnia 13.08.2007 11:29:33 Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu
|
|
|
|
| wlodekp |
Dodany dnia 13.08.2007 11:34:42
|
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
Mniemanie o bsobie mam takie jakie mam o Tobie tak?e krasnale owszem widzia?em ja je?dzi?em jeszcze kiedy? do NRD a tTY jakie masz do?wiadczenie w pracy z konsol? bo wyobra? sobie, ?e ja akurat pracuje wy??cznie konsol? po shh zarówno w unixie z uprawnieniami roota poprzez su dla zabezpiecze? jak i mysql gdzie najpierw musia?em pozna? zasady zapyta?. I ?ycz? tobie powodzenia w pracy www bez ftp i dalszych besensownych wypowiedzi. |
|
|
|
| m_i_n |
Dodany dnia 13.08.2007 11:38:03
|
|
Bywalec Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
I ?ycz? tobie powodzenia w pracy www bez ftp i dalszych besensownych wypowiedzi. A ja tobie dalszego czytania bez zrozumienia. Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu
|
|
|
|
| wlodekp |
Dodany dnia 13.08.2007 11:40:59
|
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
AMEN
|
|
|
|
| m_i_n |
Dodany dnia 13.08.2007 11:42:56
|
|
Bywalec Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
A czy po tym jak wlodekp narobil niepotrzebnego syfu w tym temacie mozemy wrocic do dyskusji jakiej powinien ten topic dotyczyc?
Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu
|
|
|
|
| Grzes |
Dodany dnia 13.08.2007 11:49:06
|
|
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
m_i_n napisa?/a: Grzes -> wlasnie sprawdzilem to dla pewnosci, i moge potwierdzic ze zwykly admin moze wstawiac php w custom pages. Chyba po prostu zrobie sobie jakas mala modyfikacje tego :) i bedzie po problemie. Mo?esz spróbowa? czego? takiego je?li ju? naprawd? musisz da? mo?liwo?? jakiemu? adminowi dost?p do stron informacyjnych bez php. Dodaj pole page_allow_php w tabeli custom_pages. Podczas dodawania strony sprawd? czy iSUPERADMIN i wstaw 1 do tego dodanego pola je?li tak. W viewpage.php masz linijk?: eval("?>".stripslashes($data['page_content'])."<?php "); Zamie? j? na: if ($data['page_allow_php'] == 1) eval("?>".stripslashes($data['page_content'])."<?php "); else echo stripslashes($data['page_content']); Poza tym w administration/custom_pages.php masz linijki (70-72): zamie? na: Admin b?dzie mia? pe?ny dost?p do htmla ale bez wykonywania php. Tylko dobrze to przetestuj zanim im udost?pnisz ale wydaje mi si? ?e teraz b?dzie to co chcia?e? uzyska?. Cz?sto najm?drzejsz? odpowiedzi? jest milczenie
|
|
|
|
| m_i_n |
Dodany dnia 13.08.2007 11:51:38
|
|
Bywalec Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04 |
Na poczatku chcialem wlasnie zrobic tak zeby filtrowac zawartosc przy dodawaniu strony, ale wylaczenie eval przy wyswietlaniu jest chyba prostrze dzieki.
Edytowane przez Pieka dnia 13.08.2007 12:15:35 Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu
|
|
|
|
| Przejdź do forum: |