Temos pavadinimas: WordPress, Shopify ir PHPFusion programuotojų bendruomenė :: Userio isgelbejimas
Parašė BloodKiller· 2007 Kov. 2 22:03:52
#1
Nunese kas nors jusu useri ir negalite prisijungti? :D Na jei dar zinote savo ftp,
mysql slaptazodzius, tuomet dar ne viskas prarasta. Is viso, net ftp slaptazodis nebutinas, jei turite koki uploaderi, kuris uploadintu .php failus. Isgelbeti savo useri galite pasinaudodami mano sukurtu skriptu. Jo veikimo principas labai paprastas. B) Tiesiog tereikia suvesti duomenis. Pvz stai taip:
MySQL tinklas - dazniausiai localhost
MySQL vartotojas - jei sustras esi, tuomet root
MySQL slaptazodis - nUneSEmAno7895usERI
MD5 kodavimas - kol nepasirode digitanium uzturbinta exploitais php-fusion (tipo 7) versija, zymekite vienguba.
Naujas slaptazodis - aTsiimuUseri
Pakartokite slaptazodi - aTsiimuUseri
Argi ne paprasta isgelbeti savo useri? :D
Redagavo BloodKiller· 2007 Kov. 2 22:03:31
Parašė riomas· 2007 Kov. 29 20:03:01
#2
meta klaida
Fatal error: Cannot redeclare dbquery() (previously declared in C:\wamp\www\test\maincore.php:98) in C:\wamp\www\test\maincore.php on line 106
Parašė ozzWANTED· 2007 Kov. 29 20:03:56
#3
Tai negi sunku pasižiūrėti pačiam tą eilutę ir išsitaisyti klaidą...
Parašė riomas· 2007 Kov. 29 21:03:07
#4
kad suprasčiau ka ten krapštyti :|
Parašė ozzWANTED· 2007 Kov. 29 21:03:01
#5
106 eilutė,
Php-F v6.01.6 maincore.php:
$result = @mysql_query("SELECT Count".$field." FROM ".DB_PREFIX.$table.$cond);
o dbcount funkcijos blood faile išvis nėra....
Beto ir blood kodas, bent jau iš pirmo žvilgsnio švarus atrodo, bandyk ne localhost'e, o web serve bandyti...
Redagavo ozzWANTED· 2007 Kov. 29 21:03:49
Parašė riomas· 2007 Kov. 29 21:03:50
#6
aciu ikirtau
Parašė riomas· 2007 Kov. 30 20:03:28
#7
Taip tai galima padaryti tikrai ir išsaugoti savo user'į, bet aš jei neklystu sumastė ir kitą planą. Iš pirmo žvilgsnio atrodo kad nieko keisto ten nėra, bet klaida tame, kad jis daro prisijungimus per $_POST prie duomenų bazės, ir tikrina duomenis iš
MySQL nenaudodamas jokios apsaugos.
Kaip tarkim:
$user_id = htmlentities($_POST['user_id']);
Tai ka mes matom ir kokias išvadas kalim daryti :o
Parašė ozzWANTED· 2007 Kov. 30 21:03:34
#8
išvadas tokias - tas failas gi tau skirtas, tad dėl saugumo nesiskųst - "išgelbėjai" ir ištrynei iš servo. O dėl
mysql ką ten susisvaigai... Ima iš
MySQL gi:
$query = dbquery("SELECT * FROM ".$db_prefix."users WHERE user_id = '$user_id'");
Parašė BloodKiller· 2007 Kov. 31 22:03:59
#9
riomas parašė:
Taip tai galima padaryti tikrai ir išsaugoti savo user'į, bet aš jei neklystu sumastė ir kitą planą. Iš pirmo žvilgsnio atrodo kad nieko keisto ten nėra, bet klaida tame, kad jis daro prisijungimus per $_POST prie duomenų bazės, ir tikrina duomenis iš
MySQL nenaudodamas jokios apsaugos.
Kaip tarkim:
$user_id = htmlentities($_POST['user_id']);
Tai ka mes matom ir kokias išvadas kalim daryti :o
Nu sakes... :D :D
Zinoma, man nebutina buvo rasineti _POST[]. Taciau as juo apibreziau, kad visi duomenys yra imami butent is _POST[], o ne is _GET[]. Man tereikejo parasyti $user_id nieko jam nenurodant, bet as taip nedariau, nes norejau tiksliau apibrezti duomenu emima. :D Kas dar neaisku gali buti? Gi viskas labai paprasta. :D
Parašė riomas· 2007 Kov. 31 22:03:31
#10
Tokiom apsaugom tik vaikus galima įtikinėti arba žmones kurie nesusigaudo programavime (tai liečia ir mane ne taip jau gerai išmanau aš tuos kotukus :|).
ozzWANTED siūlau ištrinti failą kai jis savo juoda darbeli atliks. :D kalbu
"išgelbėjai" ir ištrynei