Модуль 'личная/общая файл зона' for JohnCMS 3.2.2

5.73K
.
Krite
djpasica (07.01.2012/12:28)
+1 дыра... sql inj
__
[fix] заходим в addfile.php строка 204, заменяем на
$dir = abs(intval($_GET['dir']));
Там не только sql, но xss исли не фильтровать.)))
220. echo "<br/><a href='index.php?dir=".$dir."'>продолжить</a><br/>";
И не понятно мне одно в начале он в 10-й строке уже использует эту переменную и фильтрует, а потом зачем-то еще раз использует, но уже не фильтрует
.
Krite, да там пасивка, но никто кроме него туда не станет
.
там столько говнокода, что лучше переписать заново...
.
Krite (07.01.2012/13:37)
в 10-й строке уже использует эту переменную и фильтрует, а потом зачем-то еще раз использует, но уже не фильтрует
[fix] заходим в addfile.php строка 204 и удаляем её...
.
Зделайте плиз сётчики к папкам ,не считают кол-во файлов в подпапках на 440 могу немного заплатить за помощь, пишите в личку
.
уу круто,
.
hooligan (07.01.2012/21:05)
там столько говнокода, что лучше переписать заново...
переписывай гг!!
.
КАССАНДРА
Всем привет! Я перечитал всю тему и не нашел чтоб кто то писал об этой проблеме, но у меня она, к сожалению есть... В общем, создаю я папку с паролем. Кладу туда файл, например картинку. Захожу с другого логина в свои файлы и там где Вид: папки | файлы если нажать файлы то файл видно! А запрос на пароль от папки выши... Толи я че то не понимаю то ли че? В чем проблема?
.
КАССАНДРА (22.03.2012/22:36)
Всем привет! Я перечитал всю тему и не нашел чтоб кто то писал об этой проблеме, но у меня она, к сожалению есть... В общем, создаю я папку с паролем. Кладу туда файл, например картинку. Захожу с друг
попробуй заменить файл...
Прикрепленные файлы:
.
КАССАНДРА
hooligan (23.03.2012/10:11)
попробуй заменить файл...
тоже самое. Я не много по своему решил эту проблему. Из индекс пхп убрал ссылку на этот файл
Всего: 315