WAP Мастер Форум

Сносили и будут сносить пока тупые админы не начнут учить пых или договариваться с программистами (хорошими) за определенное вознаграждение.
Добавлено спустя   8 минут  20 секунд:
А что тут говорить? Скули там.

Вот щас для интереса скачал архив с этого сайта. В ридми написано 4) В этой же папке в файле update.php просписать пусть к public_html и соединение к БД
Гг вот только Паша похоже снес пол топа что аж ридми перестало соответствовать наличию файлов. Просто напросто некуда вводить данные к каталогу. Вот передомной архив из первых рук так сказать и в нем я вижу куда вводить данные. Вывод,не качайте и не ставьте то,что непонятно и кто зарабатывал. После каждой такой доработки пропадают файлы и появляются дыры. И еще. Если бы я даже знал где дыра,я бы никогда не сказал ибо горе админов которые привыкли к халяве,проще учить сносами ибо если взялся за сайто строения-учи пых либо имей деньги оплачивать работу которую за тебя будут делать программисты. Им тоже жить надо.

AGENT, да всё это я понимаю, просто интересно.

Аффтар,я вот тоже смотрел файлы (мельком) и вроде все фильтруется. Но то, что все фильтруется,это еще не значит что дыр нет. Скорее всего просто где то далеко малький входик (бэкдор). Так же не советую ставить данный скрипт даже если вы закроете все дыры. Дело в том,что скрипт очень хорошо грузит сервер. Примерно 10 сайтов в рейтинге и вы будете заблокированы хостингом за превышение нагрузки и оперативной памяти. Минимум VDS нужен.

Profi написал:

Про бэкдор я тож думал. ток не понял тебя, о какой инсталяции речь идёт в #7?

таблицы залить автоматом я имею ввиду. Многие не умеют заливать и запросы делать

Файл index.php строка 76. Ошибка. Там еще фильтрацию изменить нужно.

Угу, но сделать можно! Дыр, как таковых не обнаружил, но имеются строки, в которых очень сомневаюсь! Гг, а БЭКДОР куда спрят-то можно?

А если модифицировать  waplog.su? Там и вэб версия в комплекте...

Отредактировано Zelioniy (2009.01.19 10:04)

Gemorroj написал:

AGENT написал:

Там используются фильтры запрещенные к использованию в пых 5

??? O_o

вот тебе и оо . Читай документацию пых 5. Функция mysql_escape_string() запрещена к использованию в связи с тем что если база в кодировке unicode то при особых манипуляциях возможны уязвимости. Нужно использовать только mysql_real_escape_string();
[color=#bbb]
и кстати,по данному вопросу я разговаривал с человеком,у которого опыт программирования на пыхе более 10 лет и он мне сказал то же самое.

Отредактировано AGENT (2009.01.19 15:06)

Паша,может тебе скрин сделать? Поддержка может и будет,волько если база в привычной для россии кодировке,то данную функцию вообще использовать нельзя. Тем более,это еще и говорит человек,с огромным опытом и программы которого еще ни кто не ломал.

Gemorroj написал:

делай что хочешь. очевидно что тебя не переубедить никакими способами. есть какое понятие как локаль. погугли на ее счет. mysql_escape_string используется большинством скриптов на этом сайте, в том числе и этим форумом. проблем как видишь не наблюдается.

в данном случае я верю опыту человека и его знаниям.Или ты считаешь данного человека чайником который ничего не знает? >>>От закрыто
(17.01.09 17:30)

Тема: Re: Привет, закрыто!

Текст: Прочитай оф. мануал от PHP5 касающийся этой функции (mysql_escape_string) и увидишь, что там написано DEPRECATED, то есть, запрещено к использованию в новых разработках.
Дело в том, что простой эскейп_стринг некорректно обрабатывает Unicode и если у тебя соединение с базой UTF-8 (что и есть на большинстве Русскоязычных мобильных проектов), то теоретически, колдуя с комбинациями таблицы символов, можно пробить защиту.
mysql_real_escape_string является более новой функцией, которая щас и рекомендуется к использованию и корректно отрабатывает Юникод.
З.Ы.
Многие кодеры об этом не знают и потом страдают от уязвимостей
Добавлено спустя   1 минуту  56 секунд:
А кто тебе сказал что это функция НЕ ПОДДЕРЖИВАЕТСЯ ? Я посты вроде русским языком пишу. Я сказал ЗАПРЕЩЕН.

Отредактировано AGENT (2009.01.19 15:52)

Мануалы разные бывают. Да ты лучше сам перевод скажи,что бегать по гуглам. Данной слово (прямой перевод) уж точно не запрещено,но их инглишей порой тоже не понять. Тем не менее я останусь при своем мнении и не буду употреблять данную функцию,ты же делай как знаешь и как ты считаешь нужным. И спор думаю тут не к чему. Это тоже самое к примеру спорить что лучше echo или print.

Gemorroj написал:

нет, естественно mysql_real_escape_string лучше, и использовать следует именно ее, но функция mysql_escape_string не запрещена, она не рекомендуется (перевод deprecated), а это большая разница.

ну значит на этом и порешили. Вывод все равно один-дыра возможна. кстати как я лично понимаю,не рекомендуется-это уже означает что ее нужно забыть. А если ее забыть -то она запрещена. Запрещена не документом допустим,а внутренне

Отредактировано AGENT (2009.01.19 15:50)

я не постоянно тут нахожусь просто.

нет, я не особо его ковырял. в любом случае для нормального проекта его придется серьезно поковырять еще.

AGENT когда раскрутишь, то топ этот помрёт от нагрузки, и даже VDS тебя не спасёт. у меня от 80 активных сайтов он VDS положил, проше новый написать или вообще нечего неставить, хотя за этот скрипт отдавал когда то нормальную сумму MaZaFaKe...сейчас очень сильно желею.
Добавлено спустя   1 минуту  32 секунды:
Под словами активными - это сайты более 100 хостов. так пользователей было 300 с чем то.

AGENT, не твоя правда. Локация сервера не так важна. У меня, например, сервер в Москве стоит, на мой взгляд оч даже хорошо для своих можностей справляется. А то что мазафака знатный говнокодер, это известный факт.

Gemorroj написал:

AGENT, не твоя правда. Локация сервера не так важна. У меня, например, сервер в Москве стоит, на мой взгляд оч даже хорошо для своих можностей справляется. А то что мазафака знатный говнокодер, это известный факт.

ты меня не понял. Локация в данном случае важна. В России качественных хостинг провайдеров всего несколько,они не будут на одном сервере держать по 50 вдс но и цены будут заметно выше. В сша и Германии я такого не видел. Правда знаю только о самых крупных.
Добавлено спустя   3 минуты  33 секунды:

_WaM_ написал:

AGENT у меня сервак был и в России и в США, сейчас остановился на Украине... и разницы впринципе нет.
Процессор: 1100 Mhz ( Opteron ) / ОЗУ: 768 Мб. DDR2-667 ECC вот такой сервак не выдержал нагрузки от того топа.

я даже похоже знаю о каком провайдере ты говоришь. Не вдс64 случаем? Если да,то мощностей они много дают,но вот вопрос получишь ли ты их...Если ошибся,то назови провайдера где ты сейчас берешь вдс. А то мне вдс надо. В украинских я не силен ибо не изучал особо их рынок. Плохо одно что у них почти у всех трафик с соотношением,что очень плохо на мой взгляд.

Ну вот видишь ,я по конфигу уже вижу что за провайдер. Я тоже думаю туда ехать на пару месяцев. Потом в Германию в крупный дц. Они не берут ничего кроме визы вроде.
=
как с соотношением у тебя и пингом? Супорт в большинстве случаев немой,сайты на серверах не очень быстро работают.
=
на счет Российских провайдеров. У меня есть и порно и хлеще. Ни кто не блокирует. Зависит от провайдера. Ну и радует пинг и скорость. Сайты работают как су 34 даже в пик. Правда тут еще зависит от наличия прямых рук программиста гг

Ну я лично убедился что он отвечает на вопросы раз в час. Подтверждение тому отзывы о них