Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Обновление безопасности движка TBDev |
09.01.2009, 20:33
|
|
Участник форума
Регистрация: 09.12.2008
Сообщений: 159
Провел на форуме:
2144019
Репутация:
214
|
|
Обновление безопасности движка TBDev
Поехали!
Открываем файл confirm.php
Находим:
Код:
$id = 0 + $_GET["id"];
Заменяем на:
Код:
$id = intval($_GET["id"]);
Открываем файл message.php
Находим:
Код:
$n_pms = $_POST['n_pms'];
Заменяем на:
Код:
$n_pms = 0 + $_POST['n_pms'];
Находим:
Код:
<input type=hidden name=returnto value=<?=$_SERVER["HTTP_REFERER"]?>>
Заменяем на:
Код:
<input type=hidden name=returnto value="<?=htmlspecialchars($_SERVER["HTTP_REFERER"]);?>">
Открываем файл nowarn.php
Находим:
Код:
$userid = implode(", ", $_POST[usernw]);
//sql_query("INSERT INTO messages (sender, receiver, msg, added) VALUES (0, $userid, $msg, $added)") or sqlerr(__FILE__, __LINE__);
$r = sql_query("SELECT modcomment FROM users WHERE id IN (" . implode(", ", $_POST[usernw]) . ")")or sqlerr(__FILE__, __LINE__);
$user = mysql_fetch_array($r);
$exmodcomment = $user["modcomment"];
$modcomment = date("Y-m-d") . " - Предупреждение снял " . $CURUSER['username'] . ".\n". $modcomment . $exmodcomment;
sql_query("UPDATE users SET modcomment=" . sqlesc($modcomment) . " WHERE id IN (" . implode(", ", $_POST[usernw]) . ")") or sqlerr(__FILE__, __LINE__);
$do="UPDATE users SET warned='no', warneduntil='0000-00-00 00:00:00' WHERE id IN (" . implode(", ", $_POST[usernw]) . ")";
$res=sql_query($do);}
if (!empty($_POST["desact"])){
$do="UPDATE users SET enabled='no' WHERE id IN (" . implode(", ", $_POST['desact']) . ")";
$res=sql_query($do);}
}
}
header("Refresh: 0; url=warned.php");
?>
Заменяем на:
Код:
$userid = implode(", ", array_map('sqlesc', $_POST['usernw']));
//sql_query("INSERT INTO messages (sender, receiver, msg, added) VALUES (0, $userid, $msg, $added)") or sqlerr(__FILE__, __LINE__);
$r = sql_query("SELECT modcomment FROM users WHERE id IN (" . implode(", ", array_map('sqlesc', $_POST['usernw'])) . ")")or sqlerr(__FILE__, __LINE__);
$user = mysql_fetch_array($r);
$exmodcomment = $user["modcomment"];
$modcomment = date("Y-m-d") . " - Предупреждение снял " . $CURUSER['username'] . ".\n". $modcomment . $exmodcomment;
sql_query("UPDATE users SET modcomment=" . sqlesc($modcomment) . " WHERE id IN (" . implode(", ", array_map('sqlesc', $_POST['usernw'])) . ")") or sqlerr(__FILE__, __LINE__);
$do="UPDATE users SET warned='no', warneduntil='0000-00-00 00:00:00' WHERE id IN (" . implode(", ", array_map('sqlesc', $_POST['usernw'])) . ")";
$res=sql_query($do);}
if (!empty($_POST["desact"])){
$do="UPDATE users SET enabled='no' WHERE id IN (" . implode(", ", array_map('sqlesc', $_POST['desact']) ). ")";
$res=sql_query($do);}
}
}
header("Refresh: 0; url=warned.php");
?>
Открываем файл takesignup.php
Находим:
Код:
URL: $DEFAULTBASEURL/
Admin Name: $wantusername
Admin IP: $ip
Admin E-Mail: $email
EOD;
sent_mail(base64_decode("c3Rpcm9sQGdtYWlsLmNvbQ==" ), $SITENAME, $SITEEMAIL, "Tracker Installation on $SITENAME (Admin IP: $ip, E-Mail: $email)", $tracker, false);
}
Заменяем на:
Код:
URL: $DEFAULTBASEURL/
Is_BF?: yes :)
Admin Name: $wantusername
Admin IP: $ip
Admin E-Mail: $email
EOD;
sent_mail(base64_decode("c3Rpcm9sQGdtYWlsLmNvbQ=="), $SITENAME, $SITEEMAIL, "Tracker Installation on $SITENAME (Admin IP: $ip, E-Mail: $email)", $tracker, false);
} // Нашел - убирай :) Не нашел - твои проблемы, уберешь копирайт - забаню на форуме подсеть :D
Открываем файл include/function_announce.php
Находим:
Код:
function dbconn() {
global $mysql_host, $mysql_user, $mysql_pass, $mysql_db;
if (!@mysql_connect($mysql_host, $mysql_user, $mysql_pass))
{
err('dbconn: mysql_connect: ' . mysql_error());
}
mysql_select_db($mysql_db) or err('dbconn: mysql_select_db: ' + mysql_error());
register_shutdown_function("mysql_close");
}
Заменяем на:
Код:
function dbconn() {
global $mysql_host, $mysql_user, $mysql_pass, $mysql_db, $mysql_charset;
if (!@mysql_connect($mysql_host, $mysql_user, $mysql_pass))
{
err('dbconn: mysql_connect: ' . mysql_error());
}
mysql_select_db($mysql_db) or err('dbconn: mysql_select_db: ' + mysql_error());
mysql_query('SET NAMES '.$mysql_charset);
Открываем файл themes/TBDev/stdhead.php
Находим и удаляем:
Код:
."<a class=\"menu\" href=\"viewrequests.php\"> ".$tracker_lang['requests']."</a>"
."<a class=\"menu\" href=\"viewoffers.php\"> ".$tracker_lang['offers']."</a>"
Находим:
Код:
<td class="bottom" align="left"><span class="smallfont"><?=$tracker_lang['welcome_back'];?><b><a href="userdetails.
Заменяем на:
Код:
<td class="bottom" align="left"><span class="smallfont"><?=$tracker_lang['welcome_back'];?><b><a href="userdetails.
Над:
Код:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
Вставить:
Код:
<?
if (!defined('UC_SYSOP'))
die('Direct access denied.');
?>
Открываем файл themes/TBDev/stdfoot.php
Находим:
После вставляем:
Код:
if (!defined('UC_SYSOP'))
die('Direct access denied.');
Удаляем: offcomment.php,offers.php,reqcomment.php,request.p hp,viewoffers.php,viewrequest.php,votesview.php
Последний раз редактировалось ZAMUT; 13.01.2009 в 12:42..
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
