Джумала не позволяет себе таких вольностей. Код биржи вставляйте или в шаблон, или пишите специализированный модуль.
MaxBelov25, подскажите, какие уязвимости вы знаете у последней версии форума phpbb3.0.11
Часто приходилось ломать, на какие уязвимые места необходимо обратить внимание?
$p_url=parse_url($url); parse_str ( $p_url['query'], $arr_str ); if (isset($arr_str['preview'])and(!empty($arr_str['preview']))) { .... } else { ... }
Имхо. любой опенсоурсевский движёк, безопасней ломаного ДЛЕ. Зачем каку использовать для серьезных проектов, не понимаю.
вы не поняли меня. root пользователем я пользуюсь для добавления новых баз данных и изменения их структуры. Пароль к этому пользователь, храню в записной книжке, нигде не сохраняю. А вот для работы движка сайта создаю пользователя с минимально необходимыми правами для корректной работы движка. Эти логины с паролям и хранятся в конфиге сайта не зашифрованными, и в случае бреши в безопасности сайта, теоретически их можно узнать и воспользоваться ими. Если использовать на сайте пользователя root, то злоумышленники получат полный доступ к базе. А компрометация локального пароля, имеет меньшие последствия, или вообще ничего не даст.
Если запрет на регистрацию пользователей в системе не установлен, то любой желающий может пачками регить пользователей. достаточно отсылать на ваш сервер правильные POST запросы. И движок их естественно правильно отрабатывает. Получая на выходе зарегистрированного пользователя. Таких роботов что регистрирую пользователей в сети тысячи. И капча вас не всегда спасет. Если сайт не под прицелом, спасти может, введение обязательных при регистрации доп. полей с фиксированными значениями. Но если кто то взял именно ваш сайт на прицел, то не спасет уже ничего. Если регистрация пользователей не нужна, то лучше её вообще отключить.
отсутствие формы регистрации, не есть запрет регистрации. Запретите в настройках джумалы регистрацию пользователей. И не будет, проблем, если сайт действительно не хакнут.
Я например для сайта всегда в MySQL создаю пользователя отличного от root с минимально необходимыми правами, с доступом только к пользовательской базе с localhost. Может это и параноя, но root`овский пароль к базе на сайте в конфиге как то боязно хранить.
Обычно хватает прав на операции SELECT, INSERT, UPDATE, DELETE, но все завит от конкретных задач.
Логинза не подходит по причине того что, во первых там нет авторизации через одноклассники, а во вторых, запросы и ответы через сервер Логинзы меня не устраивают.
Теоретически возможно.
Вам нужно будет найти толкового программиста со знанием javascript и PHP который напишет данный функционал.
Нужно всего лишь перехватить событие отправки комментария во фрейме, и отправить пост запрос на свой сервер, где будет вызвана функция отправки сообщения на почту с указанием ссылки на статью где был оставлен комментарий. При желании можно перехватить и текст комментария.
