Ломанули???? :)))))) Пацтулом!
При чём тут вообще ПОСТ, При чём РЕКВЕСТ?
Разве что смог запостить сюда урл, чтобы все могли попробовать.
Зрите в корень!
Сейчас пойду Пластикат так поламаю :bl
Тож скажу. Пока это халявное тестирование, и я не беру за него деньги, пока. 😂
Страшно блин!
О, сколько нам загадок чудных готовит зашифрованная часть скрипта 🤣
Как только предложите соответствующую оплату и условия.
ПС. Очень плохо, что имея команду из 2 человек вы не можете даже толком оттестировать свой проект.
Это ответ:
Для такого префикса:
Видимо таки нет поддержки для такого протокола в установленной ПХП.
Рассматривайте как Вам заблагорассудится.
Опять говорите неправду :(
Была жалкая попытка устранения ошибки, всего лишь...
Ошибка же, как была, так и осталась:
http://www.m-cat.ru/page.php?id=47&tmpl=....//index.php
Следующая строка:
if (strstr($_REQUEST['tmpl'],'../')){$_REQUEST['tmpl'] = str_replace('../','',$_REQUEST['tmpl']);}
по сути до заднего места.
Продолжаю:
http://www.m-cat.ru/edit_link.php?edit_link=1&lid=63&title=dkameleon&short_description=unauthorized%20editing&full_description=demonstration%20for%20SE%20demonstration%20for%20SE%20demonstration%20for%20SE%20&email=spam@dkameleon.com&url=dkameleon.com
Результат:
http://www.m-cat.ru/page.php?id=63
Правка ссылок со стороны пользователя без какой либо авторизации.
Любителям Фентермина Ваш движок очень понравится :)))
Боюсь, что в таком случае большинство ошибок вам прийдётся устранять самостоятельно :)
Но, судя по общению с Вами, самостоятельно вы этого сделать не сможете.
А каким образом можно добиться того, чтоб вы не называли "в разы лучшим" то, что таковым не является?
Вы привыкли называть вещи не своими именами? Приукрашивать? Хорошо, в последующем общении я это учту.
Аутентификация на первый взгляд написана нормально.
В принципе, в системе с одним админом - это главное.
Так и есть. Админ ломать свой сайт не будет.
У меня возникают некоторые сомнения по поводу шаблонизатора - его пересмотрите особенно детально. Мало ли что там может вылезти.
Надеюсь, код вы там не выполняете? :)
Так же мне абсолютно непонятно желание зашифровать этот файл:
add_link.php
Первое, что попалось под руку:
http://www.skalinks.com/
http://www.cn-software.com/cncat/
http://www.algirdas.com/marketing/link-exchange-free.html
http://webi.ru/
Ещё есть как минимум один зарубежный халявный, но ссылку где-то я затырил.
Невозможно нормально тестить чёрный ящик. Поэтому предлагаю Вам на время наладки скрипта (пока бета) полностью открыть исходные коды.
Решать, конечно же вам, но вряд ли скрипт будет пользоваться спросом, при наличии столь критических уязвимостей и невозможности исправить их самостоятельно в случае чего.
Ведь сами посудите - пользователю Вашего скрипта прийдётся сидеть с брешью на сайте, до тех пор, пока Вы не выпустите обновление или попросту временно закрыться. Сомневаюсь, что многие захотят так рисковать.
Всё очень просто - вы хвалите свой продукт как:
Но, как ни крути, эти слова не столь правдивы, на сколько хотелось бы.
Я сказал, что шансы получить НА ЁРНЕ приблизительно равны нулю. Я же не от балды цитировал предыдущего оратора.
Тогда ещё раз обратите внимание на то, что я сказал:
/ru/forum/comment/1280399
И касательно чего я так сказал. Вы только что это подтвердили.
Ребята, извините, но ваши слова - откровеннейшая ЛАЖА.
1. Я видел скрипты В РАЗЫ превосходящие ваш по функционалу и в то же время абсолютно бесплатные и даже не зазенденые.
2. дырявость открытой части ваших скриптов настолько ужасающа, что даже нет слов! И это я даже за админку не брался. Смотрел только не зашифрованные скрипты посетительской части.
Надеюсь, что Вы не будете отвечать на мою критику, а примете меры для устранения этих "недоработок" иначе я так же продолжу.
Ну, тогда может скажете Ваш ник на Ёрне? :)
