Joker Board 3.0

asler, поставил не выводит урл названия

может потому как у меня джокер с фирмами..

нашел в хтассеессе. следущее


RewriteRule ^katalog_firm_i_organizaciy.html$ index.php?op=book
RewriteRule ^newfirm.html$ index.php?op=newfirm
RewriteRule ^newfirm-p([0-9]+).html$ index.php?op=newfirm&page=$1
RewriteRule ^f([0-9]+)-([-a-zA-Z0-9_]+).html$ index.php?op=org&id_cat_book=$1
RewriteRule ^fp([0-9]+)-p([0-9]+).html$ index.php?op=org&id_cat_book=$1&page=$2
RewriteRule ^o([0-9]+)-([0-9]+)-([-a-zA-Z0-9_]+).html$ index.php?op=org&id_cat_book=$1&id_book=$2
RewriteRule ^firm.html$ index.php?op=addfirm
RewriteRule ^([0-9]+)-firm.html$ index.php?op=addfirm&cat=$1
RewriteRule ^gotofirm-([0-9]+).html$ core/redirect_book.php?id_book=$1
RewriteRule ^searchfirm.html$ index.php?op=search_book

RewriteRule ^firms.html$ index.php?op=userfirm
RewriteRule ^firms-p([0-9]+).html$ index.php?op=userfirm&page=$1
RewriteRule ^firms-([0-9]+)-del.html$ index.php?op=userfirm&group=del&id_book=$1
RewriteRule ^firms-([0-9]+)-edit.html$ index.php?op=userfirm&group=edit&id_book=$1
RewriteRule ^firms-([0-9]+)-delimg.html$ index.php?op=userfirm&group=delimg&id_book=$1


удалил но все равно не транслитирует в урл и ничего не изменилось выводит так же
/c304-523.html
а фирмы нормально выводит
пример /o175-18-ooo_dorsan_riga.html

я попозже свяжусь, дай почту скайпа нет
по категориям хочу поделится файлом пакетного ввода
нужно его переделать и будет счастье
или у вас категории пакетом вводятся?

Народ есть программеры есть файл с городами, ввод пачкой
на основе его категории хочу замутить внос пачкой

asler черкани почту есть предложение по файлу этому

А что это за редактор что оен умеет?

Ааа прикольно это с ббкодами и вставкой ютуба в комменты нужная вещь
 
Последнее редактирование модератором:
Ребят, а кто то прикручивал редактор tinymce например?
Если делал кто, поделитесь опытом.
 
Как правильно сделать редирект из
RewriteRule ^c([0-9]+)-([0-9]+).html$ index.php?id_cat=$1&id_mess=$2
на
RewriteRule ^c([0-9]+)-([0-9]+)-([-a-zA-Z0-9_]+).html$ index.php?id_cat=$1&id_mess=$2&title=$3
Послушал asler и пришлось переделать весь сайт :( Уже несколько часов редактирую, тестирую все файлы. Помогите выйти из положения.

Взломали мой сайт сегодня, красиво но не аккуратно. Зарегистрировался, не знаю как присвоил себе объяв. тот что самый просмотренный и на данный момент VIP, и просто редактировал под его данные, картинку и.т.д.
Кто может понять как все он это сделал, с базы данных, или как то еще есть вариант? И как защитится?
Адрес сайта прописал Для просмотра ссылки Войди или Зарегистрируйся
email mplus@slavg.info

werstey написал(а):
Очень интересно, даже догадок не имею как это сделали! Возможно Вы когда файлы правили, где то допустили ошибку?

Знаю просто так никто не даст, по этому предлагаю бартер шаблонами. Кому интересно, пишите в личку
Нажмите для раскрытия...
Сначала зарегистрировался как новый пользователь. Потом как то изменил user_id и присвоил себе объявление, и после редактировал просто объявление под себя. Красиво придумано, и если я не имел бы бекап данных некогда и не догадывался наверно. Узнал по id и id_category который он не менял.
Без взлома базы данных думаю невозможно было бы.

armana написал(а):
Сначала зарегистрировался как новый пользователь. Потом как то изменил user_id и присвоил себе объявление, и после редактировал просто объявление под себя. Красиво придумано, и если я не имел бы бекап данных некогда и не догадывался наверно. Узнал по id и id_category который он не менял.
Без взлома базы данных думаю невозможно было бы.
Нажмите для раскрытия...
Вот и взломщик мой посвятился, чуть награду не получил от него :)
Вот и письмо:

Молодец Арман. Вы хороший администратор своего сайта. К вам больше не буду заходить... Извиняй )

Из 20 сайтов, вы первый заметили.
Удачи.

Наш невинный нарушитель Для просмотра ссылки Войди или Зарегистрируйся помог мне скрыть дыру. С его пожеланием помочь и другим выложу решение.
Привет, есть уязвимость такая : авторизируешся, заходишь в редактирование своего объявления. Ссылка выглядит так :
Для просмотра ссылки Войди или Зарегистрируйся
Где 63 это id объявления.
подставляешь вместо него к примеру 65, зная что это id другого объявления, к примеру VIP, жмешь ENTER и ты уже правишь чужое... Проверь, так ли у тебя?

Я сделал следующее:
в файле login.inc.php при авторизации заношу в сессию id пользователя. В самом низу добавил две строчки:
$_SESSION['email'] = $_POST['email'];
$_SESSION['id_user'] = $data['pass'];
$_SESSION['user_id'] = $data['id_user'];
if (@$_POST['setcookie']){
setcookie("email", $_SESSION['email'], time() + 77760000, "/");
setcookie("id_user", $data['pass'], time() + 77760000, "/");
setcookie("user_id", $data['id_user'], time() + 77760000, "/");
Далее в conf.php примерно на 43 строке так же добавил строку для занесения в сессии если есть куки:
$_SESSION['email']=$_COOKIE['email'];
$_SESSION['id_user']=$_COOKIE['id_user'];
$_SESSION['user_id']=$_COOKIE['user_id'];
И последнее, в файле редактирования user_edit_form.inc.php в начале запрос:
$editq = mysql_query ("SELECT * FROM jb_board WHERE id = '".$_GET['id_mess']."'"); cq();

меняем на
$editq = mysql_query ("SELECT * FROM jb_board WHERE id = '".$_GET['id_mess']."' AND user_id = '".$_SESSION['user_id']."'"); cq();

После таких манипуляций при попытке подставить другой id должна будет срабатывать переадресация обратно к списку объявлений. Это происходит в самом конце этого файла:
else {header ("location: ".$h."cpanel.html");}
Тут можно вывести какое нибудь зловещее предупреждение)) и перадресацию с задержкой времени на 10 секунд, к примеру так:


else {
echo"Нарушение! ляляля Ваш ip такой то будет передан туда то....";
header( 'Refresh: 10; url='.$h."cpanel.html");
}
 
Последнее редактирование модератором:
armana написал(а):
Взломали мой сайт сегодня, красиво но не аккуратно. Зарегистрировался, не знаю как присвоил себе объяв. тот что самый просмотренный и на данный момент VIP, и просто редактировал под его данные, картинку и.т.д.
Кто может понять как все он это сделал, с базы данных, или как то еще есть вариант? И как защитится?
Адрес сайта прописал Для просмотра ссылки Войди или Зарегистрируйся
email mplus@slavg.info
Нажмите для раскрытия...
Очень интересно, даже догадок не имею как это сделали! Возможно Вы когда файлы правили, где то допустили ошибку?

Знаю просто так никто не даст, по этому предлагаю бартер шаблонами. Кому интересно, пишите в личку
 
armana написал(а):
Как правильно сделать редирект из
RewriteRule ^c([0-9]+)-([0-9]+).html$ index.php?id_cat=$1&id_mess=$2
на
RewriteRule ^c([0-9]+)-([0-9]+)-([-a-zA-Z0-9_]+).html$ index.php?id_cat=$1&id_mess=$2&title=$3
Послушал asler и пришлось переделать весь сайт :( Уже несколько часов редактирую, тестирую все файлы. Помогите выйти из положения.

Взломали мой сайт сегодня, красиво но не аккуратно. Зарегистрировался, не знаю как присвоил себе объяв. тот что самый просмотренный и на данный момент VIP, и просто редактировал под его данные, картинку и.т.д.
Кто может понять как все он это сделал, с базы данных, или как то еще есть вариант? И как защитится?
Адрес сайта прописал Для просмотра ссылки Войди или Зарегистрируйся
email mplus@slavg.info


Сначала зарегистрировался как новый пользователь. Потом как то изменил user_id и присвоил себе объявление, и после редактировал просто объявление под себя. Красиво придумано, и если я не имел бы бекап данных некогда и не догадывался наверно. Узнал по id и id_category который он не менял.
Без взлома базы данных думаю невозможно было бы.


Вот и взломщик мой посвятился, чуть награду не получил от него :)
Вот и письмо:

Молодец Арман. Вы хороший администратор своего сайта. К вам больше не буду заходить... Извиняй )

Из 20 сайтов, вы первый заметили.
Удачи.

Наш невинный нарушитель Для просмотра ссылки Войди или Зарегистрируйся помог мне скрыть дыру. С его пожеланием помочь и другим выложу решение.
Привет, есть уязвимость такая : авторизируешся, заходишь в редактирование своего объявления. Ссылка выглядит так :
Для просмотра ссылки Войди или Зарегистрируйся
Где 63 это id объявления.
подставляешь вместо него к примеру 65, зная что это id другого объявления, к примеру VIP, жмешь ENTER и ты уже правишь чужое... Проверь, так ли у тебя?

Я сделал следующее:
в файле login.inc.php при авторизации заношу в сессию id пользователя. В самом низу добавил две строчки:
$_SESSION['email'] = $_POST['email'];
$_SESSION['id_user'] = $data['pass'];
$_SESSION['user_id'] = $data['id_user'];
if (@$_POST['setcookie']){
setcookie("email", $_SESSION['email'], time() + 77760000, "/");
setcookie("id_user", $data['pass'], time() + 77760000, "/");
setcookie("user_id", $data['id_user'], time() + 77760000, "/");
Далее в conf.php примерно на 43 строке так же добавил строку для занесения в сессии если есть куки:
$_SESSION['email']=$_COOKIE['email'];
$_SESSION['id_user']=$_COOKIE['id_user'];
$_SESSION['user_id']=$_COOKIE['user_id'];
И последнее, в файле редактирования user_edit_form.inc.php в начале запрос:
$editq = mysql_query ("SELECT * FROM jb_board WHERE id = '".$_GET['id_mess']."'"); cq();

меняем на
$editq = mysql_query ("SELECT * FROM jb_board WHERE id = '".$_GET['id_mess']."' AND user_id = '".$_SESSION['user_id']."'"); cq();

После таких манипуляций при попытке подставить другой id должна будет срабатывать переадресация обратно к списку объявлений. Это происходит в самом конце этого файла:
else {header ("location: ".$h."cpanel.html");}
Тут можно вывести какое нибудь зловещее предупреждение)) и перадресацию с задержкой времени на 10 секунд, к примеру так:


else {
echo"Нарушение! ляляля Ваш ip такой то будет передан туда то....";
header( 'Refresh: 10; url='.$h."cpanel.html");
}
Нажмите для раскрытия...
Все работает, но теперь исчезла возможность редактировать в профиле объявления от незарегистрированного пользователя, но с указанным емаилом в обьявлении, они тоже попадают в личный кабинет.


(Допустим пользователь добавил объявление без регистрации и указал емаил, потом на следующий день он зарегистрировался и зашел в личный кабинет, там это объявление присваивается ему по не по id, а по email, соответственно после внесения изменений против уязвимости при нажатии в личном кабинете на кнопку редактировать, выполняется условие else {header ("location: ".$h."cpanel.html");}, но если объявление добавить после регистрации оно нормально редактируется, как то так )
 
Последнее редактирование:
Всем привет. Как спрятать подкатегории в категории, а после нажатия чтобы открывались?25.png
 
Ребята помогите сделать результат поиска с картинками
 
Еще такая просьба, кто делал вип колонку в горизонтальном положении? css знаю не плохо, но с этой проблем уже 3 дня вожусь

hovo73 написал(а):
Ребята помогите сделать результат поиска с картинками
Нажмите для раскрытия...
В search.inc приблезительно 161 строчка
<div class="o0 alcenter"><? echo($last['photo_name'])?"
<a href=\"c".$last['id_category']."-"."".$last['board_id'].".html\">
<img src=\"".$u."small/".$last['photo_name']."\" width=\"80\" height=\"80\" alt=\"photo\" /></a>":"
<a href=\"c".$last['id_category']."-"."".$last['board_id'].".html\">
<img src=\"".$im."nofoto.gif\" width=\"80\" height=\"80\" alt=\"nophoto\" /></a>";?></div>
и будет вам фото
 
Последнее редактирование модератором:
Ребят помогите на странице сайт.ру/newlist.html показываюся не все объявления которые добавили, например с компьютера google chrome показываются все, а с телефона google chrome несколько всего, в чем проблем может быть?
 
vipturkmen написал(а):
Ребят помогите на странице сайт.ру/newlist.html показываюся не все объявления которые добавили, например с компьютера google chrome показываются все, а с телефона google chrome несколько всего, в чем проблем может быть?
Нажмите для раскрытия...
в браузере телефона очистите куки
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху