Сообщений в теме: 28

[Zver]

Предлагаю сделать систему более защищенной. Т.к. любой пользователь с правами "для чтения" (имеются ввиду минимальные права) может стать администратором и натворить гадостей ...

[CbCoder]

Не понял вас, с чего это он вдруг может стать администратором?

[Zver]

Думал этим можно воспользоваться.

Fatal error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1
SELECT * FROM cb_reports WHERE id=\' + <SQL Injection>
in D:\www\common.php on line 559

Такая ошибка появляется если при открытии представления в параметр id приравнять к нулю и добавить еще чего (id=0+<SQL Injection>)

PS Пока сам это не проверил т.к. пока нет свободного времени.

PPS В остальных местах где встречается id параметр преобразуется к типу int

Сообщение отредактировал Zver: 12 Май 2012 - 02:56

[CbCoder]

Если вы про SQL Injection, то тотальная проверка всего кода на данные уязвимости уже заложена нами в план на версию 1.9.6, в ближайшие месяц-два выйдет бета-версия для тестирования. По идее, потенциальных дыр остатся не должно.

[andibrag]

В настоящее время сторонний php модуль никак не проверяет вошел пользователь в базу или нет. Воспользоваться куки для проверки невозможно, если это не стационарный вход. В итоге имею абсолютно незащищенный вход и, как вариант, несанкционированное подключение к базе. Можете предложить варианты решения?

[CbCoder]

Что за сторонний модуль? Ваш скрипт имеете ввиду? Если необходимо проверить вход, то использовать нужно не куки (они хранят сохраненный вход, а не текущий), а переменные сессии.

[andibrag]

CbCoder (12 Май 2012 - 14:30) писал:

Если необходимо проверить вход, то использовать нужно не куки (они хранят сохраненный вход, а не текущий), а переменные сессии.

идентификатор сессии я в куки наблюдаю, какие переменные используются и где хранятся данные? в базе?

[CbCoder]

Выведите на экран содержимое переменной $_SESSION, все будет ясно.

А какого плана скрипт? Может проще приинклудить common.php в начале скрипта? Он все сделает автоматом - и к базе подключит, и вход проверит, и на login.php перебросит если входа не было.

[andibrag]

подходящий вариант
вполне, может быть, этого хватит
спасибо

[andibrag]

CbCoder (12 Май 2012 - 15:02) писал:

Может проще приинклудить common.php в начале скрипта? Он все сделает автоматом - и к базе подключит, и вход проверит, и на login.php перебросит если входа не было.

Cтолкнулся с проблемой - скрипт ищет файл относительно папки из которой запускается - cb_modules/lang/russian.php и, естественно выдает ошибку.
Т.о. мой скрипт должен лежат в папке cb, чего хотел бы избежать, чтобы не восстанавливать все папки и файлы после установки новой версии или в случае сбоя текущей, что лечится удалением вышеназванной папки. Возможно ли жестко прописать, например в config, путь, где лежат ваши скрипты, т.е. корневой каталог базы?

[CbCoder]

Да, путь к скриптам можно прописать в переменной $config['site_path']. По умолчанию она расчитывается автоматом в common.php от текущего пути, но можно и явно ее указать в config.php, тогда прописанное значение подменит автоматическое. Путь должен быть к корню программы, например "/var/www/cb".

[andibrag]

спасибо

[andibrag]

Не помогло - к базе не подключается.
Какие модули подключает common.php? Что и в какой последовательности он выполняет?
У меня для работы используются

require_once "../cb/include/config.php";
require_once "../cb/include/mysql_connect.php";
require_once "../cb/include/functions1.php";
require_once "../cb/include/constants.php";

стоит приинклудить common и закомментировать все или любой из вышеперечисленных - не работает.

[CbCoder]

Странно, я проверял запуск в другой папке - у меня все нормально подключилось (после добавления $config['site_path'] в config.php). Текст скрипта не приведете?

[andibrag]

CbCoder (17 Май 2012 - 09:07) писал:

Текст скрипта не приведете?

например user_online - скрипт определения on-line пользователей

[CbCoder]

Я немного ошибся, оказывается нельзя было использовать common.php для авторизации, если скрипт лежит не в корне, т.к. у нас логин-пароль в сессиях привязывается к конкретной папке (сделано это для возможности одновременной работы с несколькими папками программы на одном домене), причем $config['site_path'] для привязки не использовалась. Немного подправил код, обновите ревизию.

[andibrag]

К КБ подключен js, формирующий вывод on-line пользователей. Запрос осуществляется через ajax к php-файлу user_online.php.
После переноса папки с собственными модулями в папку cb и подключения common.php, при первоначальном входе в систему я в нее не попадаю. Файл перенаправляет меня на страницу, содержащую данные из вышеназванного файла, т.е. на ...cb/cb_modules/user_online.php.Какие действия выполняет common.php, после входа в систему? Как упредить этот переход?

[andibrag]

Roman (14 Январь 2013 - 12:35) писал:

login.php может перенаправить на другую страницу в том случае, если был редирект. Т. е., например, Вам присылают ссылку site.ru/cb/view_line2.php?table=1&line=2, после логина происходит переход не на первую таблицу или отчёт, а на данную строку. Похоже, что cb_modules/user_online.php у Вас попадает как редиректирующая ссылка.

это просто запрос к серверу, в ней нет редиректа

Еще один момент. Прописал в конфигурации $config['site_path'] = '/home/.../public_html/cb';
Теперь не видит файлы, подключенные через require_once в вычислениях. Уже час танцы с бубнами - результат не меняется.

[andibrag]

Цитата

Прописал в конфигурации $config['site_path'] = '/home/.../public_html/cb';
Теперь не видит файлы, подключенные через require_once в вычислениях. Уже час танцы с бубнами - результат не меняется.

есть файл по адресу "cb/cb_modules/somefile.php", как в случае определенной переменной site_path должна выглядеть строка его подключения в вычислениях?