Кто что думает об этом скрипте? В частности, о его безопасности? Говорят, что снесли кучу сайтов, где он был.

Сносили и будут сносить пока тупые админы не начнут учить пых или договариваться с программистами (хорошими) за определенное вознаграждение.
Добавлено спустя   8 минут  20 секунд:
А что тут говорить? Скули там.

А подробнее можешь рассказать? Там вродь всё фильтруется нормально.

Вот щас для интереса скачал архив с этого сайта. В ридми написано 4) В этой же папке в файле update.php просписать пусть к public_html и соединение к БД
Гг вот только Паша похоже снес пол топа что аж ридми перестало соответствовать наличию файлов. Просто напросто некуда вводить данные к каталогу. Вот передомной архив из первых рук так сказать и в нем я вижу куда вводить данные. Вывод,не качайте и не ставьте то,что непонятно и кто зарабатывал. После каждой такой доработки пропадают файлы и появляются дыры. И еще. Если бы я даже знал где дыра,я бы никогда не сказал ибо горе админов которые привыкли к халяве,проще учить сносами ибо если взялся за сайто строения-учи пых либо имей деньги оплачивать работу которую за тебя будут делать программисты. Им тоже жить надо.

AGENT, update.php находится в папке includes. Паша не просто так топ поковырял наверное, ага?

AGENT, да всё это я понимаю, просто интересно.

Gemorroj написал:

AGENT, update.php находится в папке includes. Паша не просто так топ поковырял наверное, ага?

я прекрасно знаю где там что находится. ошибка 42 строки файла конфиг. 2 срока из таблиц вообще лишняя. На всех страницах мелкие ошибки.
Добавлено спустя   4 минуты  38 секунд:
Если надо кому инсталяцию,могу запаковать. Но НЕ СОВЕТУЮ СТАВИТЬ скрипт. Причина известна всех. Кстати виду Павел исправил регистрацию.

Аффтар,я вот тоже смотрел файлы (мельком) и вроде все фильтруется. Но то, что все фильтруется,это еще не значит что дыр нет. Скорее всего просто где то далеко малький входик (бэкдор). Так же не советую ставить данный скрипт даже если вы закроете все дыры. Дело в том,что скрипт очень хорошо грузит сервер. Примерно 10 сайтов в рейтинге и вы будете заблокированы хостингом за превышение нагрузки и оперативной памяти. Минимум VDS нужен.

Про бэкдор я тож думал. ток не понял тебя, о какой инсталяции речь идёт в #7?

Profi написал:

Про бэкдор я тож думал. ток не понял тебя, о какой инсталяции речь идёт в #7?

таблицы залить автоматом я имею ввиду. Многие не умеют заливать и запросы делать

Аааа...теперь понял=)

Файл index.php строка 76. Ошибка. Там еще фильтрацию изменить нужно.

короч. Скрип полное детьмо извените за выражение.

Угу, но сделать можно! Дыр, как таковых не обнаружил, но имеются строки, в которых очень сомневаюсь! Гг, а БЭКДОР куда спрят-то можно?

Понимаешь,дыр там нет. Там используются фильтры запрещенные к использованию в пых 5,но не в них дело. Возможно есть инклюд уязвимость. Но скрипт очень нагружает сервер,и как мне сказал модификатор,там нагрузочная система. А значит нужно в любом случае изучать весь скрипт,находить бэкдор,и искать нагрузочный код. Легче новый написать.

А если модифицировать  waplog.su? Там и вэб версия в комплекте...

AGENT написал:

Там используются фильтры запрещенные к использованию в пых 5

??? O_o

Gemorroj написал:

AGENT написал:

Там используются фильтры запрещенные к использованию в пых 5

??? O_o

вот тебе и оо . Читай документацию пых 5. Функция mysql_escape_string() запрещена к использованию в связи с тем что если база в кодировке unicode то при особых манипуляциях возможны уязвимости. Нужно использовать только mysql_real_escape_string();
[color=#bbb]
и кстати,по данному вопросу я разговаривал с человеком,у которого опыт программирования на пыхе более 10 лет и он мне сказал то же самое.

http://ru2.php.net/mysql_escape_string почитай документацию получше. Да, предпочтительно использовать mysql_real_escape_string, но поддержка mysql_escape_string еще очень долго будет присутствовать.

Паша,может тебе скрин сделать? Поддержка может и будет,волько если база в привычной для россии кодировке,то данную функцию вообще использовать нельзя. Тем более,это еще и говорит человек,с огромным опытом и программы которого еще ни кто не ломал.

=) делай что хочешь. очевидно что тебя не переубедить никакими способами. есть какое понятие как локаль. погугли на ее счет. mysql_escape_string используется большинством скриптов на этом сайте, в том числе и этим форумом. проблем как видишь не наблюдается.
Добавлено спустя   1 минуту  38 секунд:
а то что у твоего знакомого такой опыт и он заявляет что mysql_escape_string не поддержиается в 5 PHP, говорит только о его некомпетентности, хотя скорее всего ты просто что-то не так понял.

Gemorroj написал:

=) делай что хочешь. очевидно что тебя не переубедить никакими способами. есть какое понятие как локаль. погугли на ее счет. mysql_escape_string используется большинством скриптов на этом сайте, в том числе и этим форумом. проблем как видишь не наблюдается.

в данном случае я верю опыту человека и его знаниям.Или ты считаешь данного человека чайником который ничего не знает? >>>От закрыто
(17.01.09 17:30)

Тема: Re: Привет, закрыто!

Текст: Прочитай оф. мануал от PHP5 касающийся этой функции (mysql_escape_string) и увидишь, что там написано DEPRECATED, то есть, запрещено к использованию в новых разработках.
Дело в том, что простой эскейп_стринг некорректно обрабатывает Unicode и если у тебя соединение с базой UTF-8 (что и есть на большинстве Русскоязычных мобильных проектов), то теоретически, колдуя с комбинациями таблицы символов, можно пробить защиту.
mysql_real_escape_string является более новой функцией, которая щас и рекомендуется к использованию и корректно отрабатывает Юникод.
З.Ы.
Многие кодеры об этом не знают и потом страдают от уязвимостей
Добавлено спустя   1 минуту  56 секунд:
А кто тебе сказал что это функция НЕ ПОДДЕРЖИВАЕТСЯ ? Я посты вроде русским языком пишу. Я сказал ЗАПРЕЩЕН.

хехе) а вот теперь пойди в гугл и переведи слово deprecated.
Добавлено спустя   1 минуту  24 секунды:
кстати, в мануале почему-то не написано deprecated

Мануалы разные бывают. Да ты лучше сам перевод скажи,что бегать по гуглам. Данной слово (прямой перевод) уж точно не запрещено,но их инглишей порой тоже не понять. Тем не менее я останусь при своем мнении и не буду употреблять данную функцию,ты же делай как знаешь и как ты считаешь нужным. И спор думаю тут не к чему. Это тоже самое к примеру спорить что лучше echo или print.

нет, естественно mysql_real_escape_string лучше, и использовать следует именно ее, но функция mysql_escape_string не запрещена, она не рекомендуется (перевод deprecated), а это большая разница.

Gemorroj написал:

нет, естественно mysql_real_escape_string лучше, и использовать следует именно ее, но функция mysql_escape_string не запрещена, она не рекомендуется (перевод deprecated), а это большая разница.

ну значит на этом и порешили. Вывод все равно один-дыра возможна. кстати как я лично понимаю,не рекомендуется-это уже означает что ее нужно забыть. А если ее забыть -то она запрещена. Запрещена не документом допустим,а внутренне

Павел,ты отключил входящие сообщения или просто игнор?

я не постоянно тут нахожусь просто.

Павел,ты тестировал этот скрипт? На сколько сильно грузит данный топ сервер и при каких условиях?

нет, я не особо его ковырял. в любом случае для нормального проекта его придется серьезно поковырять еще.

Я просто домен взял и не знаю че туда поставить вот думал этот топ туда кинуть но опасаясь за другие проекты на сервере

AGENT когда раскрутишь, то топ этот помрёт от нагрузки, и даже VDS тебя не спасёт. у меня от 80 активных сайтов он VDS положил, проше новый написать или вообще нечего неставить, хотя за этот скрипт отдавал когда то нормальную сумму MaZaFaKe...сейчас очень сильно желею.
Добавлено спустя   1 минуту  32 секунды:
Под словами активными - это сайты более 100 хостов. так пользователей было 300 с чем то.

_WaM_ написал:

AGENT когда раскрутишь, то топ этот помрёт от нагрузки, и даже VDS тебя не спасёт. у меня от 80 активных сайтов он VDS положил, проше новый написать или вообще нечего неставить, хотя за этот скрипт отдавал когда то нормальную сумму MaZaFaKe...сейчас очень сильно желею.
Добавлено спустя   1 минуту  32 секунды:
Под словами активными - это сайты более 100 хостов. так пользователей было 300 с чем то.

это зависит от самого вдс и какие ресурсы. Можно взять в России вдс 512мб и в Германии 512. Тот что в России взял упадет при 100 онлайн а немецкий выдержит 500. 98 процентов Российского хостинга это барыги которые оверселят до такой степени,что у тебя падает все уже при 20 онлайн. Мы тестировали на пендосовском вдс с 512 мб и при 1800 онлайн сервер начинал кашлять. При 1900 он уже сдох...

AGENT, не твоя правда. Локация сервера не так важна. У меня, например, сервер в Москве стоит, на мой взгляд оч даже хорошо для своих можностей справляется. А то что мазафака знатный говнокодер, это известный факт.

AGENT у меня сервак был и в России и в США, сейчас остановился на Украине... и разницы впринципе нет.
Процессор: 1100 Mhz ( Opteron ) / ОЗУ: 768 Мб. DDR2-667 ECC вот такой сервак не выдержал нагрузки от того топа.

Gemorroj написал:

AGENT, не твоя правда. Локация сервера не так важна. У меня, например, сервер в Москве стоит, на мой взгляд оч даже хорошо для своих можностей справляется. А то что мазафака знатный говнокодер, это известный факт.

ты меня не понял. Локация в данном случае важна. В России качественных хостинг провайдеров всего несколько,они не будут на одном сервере держать по 50 вдс но и цены будут заметно выше. В сша и Германии я такого не видел. Правда знаю только о самых крупных.
Добавлено спустя   3 минуты  33 секунды:

_WaM_ написал:

AGENT у меня сервак был и в России и в США, сейчас остановился на Украине... и разницы впринципе нет.
Процессор: 1100 Mhz ( Opteron ) / ОЗУ: 768 Мб. DDR2-667 ECC вот такой сервак не выдержал нагрузки от того топа.

я даже похоже знаю о каком провайдере ты говоришь. Не вдс64 случаем? Если да,то мощностей они много дают,но вот вопрос получишь ли ты их...Если ошибся,то назови провайдера где ты сейчас берешь вдс. А то мне вдс надо. В украинских я не силен ибо не изучал особо их рынок. Плохо одно что у них почти у всех трафик с соотношением,что очень плохо на мой взгляд.

AGENT на данный момент беру на вдс64
Тот что сдох от нагрузки находился США, ДЦ Инфомарт.
а тот что брал Российский это был всем известный датацентр который в Москве, но Россия есть Россия, любое появление на сайте ХХХ контента сервер блокировали без предупреждения.

Ну вот видишь ,я по конфигу уже вижу что за провайдер. Я тоже думаю туда ехать на пару месяцев. Потом в Германию в крупный дц. Они не берут ничего кроме визы вроде.
=
как с соотношением у тебя и пингом? Супорт в большинстве случаев немой,сайты на серверах не очень быстро работают.
=
на счет Российских провайдеров. У меня есть и порно и хлеще. Ни кто не блокирует. Зависит от провайдера. Ну и радует пинг и скорость. Сайты работают как су 34 даже в пик. Правда тут еще зависит от наличия прямых рук программиста гг

кстате насчёт сапорта поддержка там наоборот на высоте. Х.З. насчёт того как небыстро, мне кажется что наоборот посравнению с Россией он работает шустрее. лан тема не про сервера, не бум мусорить.

Ну я лично убедился что он отвечает на вопросы раз в час. Подтверждение тому отзывы о них