vBulletin (abreviat ca vB) este un forum ocupat, complet conectat în rețea, cu un potențial ridicat de extindere a capabilităților. Scriem pe internetul suedez - PHP și folosim baza de date MySQL extrem de eficientă și rapidă. Din acest forum este necesar să vedem: un robot rapid și eficient cu o bază de date, o interfață care constă din șabloane, un sistem de căutare puternic, multi-mobilitate, suport pentru profilurile clienților, un panou de administrare puternic și manual, posibilitatea de a crea un număr nelimitat de subiecte și informații, evaluarea subiectelor, informații prin e-mail și multe altele
vBuletin 3.8:
Grupuri sociale - Discuție:
* Urmărește pe rețelele sociale grupurile pot discuta (în traducere: a la citarea știrilor, chat pe blog, mai departe - discuție)
* Discuțiile sunt sortate după autor, tip și alte informații
* Discuțiile pot fi filtrate prin căutare suplimentară a textului integral în titluri (traducere: doar tastarea unei părți a titlului)
* Discuțiile pot fi moderate în lateral (meniul de moderare suedez)
* Discuțiile sunt marcate ca citite în toate modurile de motor (DB, cookie-uri) cu posibilitatea de a trece la primul mesaj necitit
* Clienții se pot abona la conversații și pot primi notificări prin e-mail despre mesaje noi
* Abonamentul la conversații este confirmat în setările managerului de cont (Contul meu)
* Detaliile discutate pot fi sociale. marcaje (kerovani koristuvachem) (tip de traducere: poate ca în subiectele de forum, numai în grupurile dvs. sociale și nu sunt ajustate de moderatori, ci de coristuvachs înșiși)
* Noi drepturi „Poate întotdeauna” (traducere: permanent?) pentru crearea și revizuirea discuțiilor și notificărilor cu acces mai ușor.
* Videoclipurile au fost reproiectate pentru utilizatorii fără JavaScript.
* Moderatorii pot edita rapid mesajele de pe rețelele sociale. groupy vikorystyuchi AJAX.
* Mesajele sunt sortate în funcție de categorii, ceea ce este înțeles mai intuitiv în discuțiile tematice (traducere: nu este în totalitate clar ce înseamnă pentru categorii, ci mai degrabă pentru toate numerele de notificări, discuții tematice - informații despre grupuri în grupuri sociale)
* Membrii grupului își pot personaliza grupurile astfel încât doar liderul grupului să poată iniția discuții.
* Conversațiile moderate și la distanță sunt grupate (vizibile) în setările managerului de cont (Contul meu) unde se poate continua modernizarea.
* Drepturile moderatorului sunt împărțite pentru discuție și aceasta, inclusiv următoarele (cum ar fi traducerea: „muște okrame, cotlet okramo”, etc.)
* La ora ștergerii/mutării unei conversații, se fac interogări speciale din baza de date și date pentru a accelera munca.
* Când sunt actualizate de la o versiune mai mică de 3.8, notificările principale se vor muta în conversații, precum și în grupuri.
*Informații pentru rețele sociale. Grupul este binevenit dacă corespondentul revizuiește discuția.
Schimbarea grupurilor sociale:
* Social grupurile sunt marcate prin citirea bazei de date și folosind metode bazate pe informații și discuții
* „Semnați toate” înseamnă că toate discuțiile din grup au fost citite folosind AJAX
* Vă puteți abona la rețelele sociale. Grupurile, semnăturile de grup sunt vizibile în secțiunea setărilor contului (Contul meu)
* Social Grupurile sunt acum vizibile în cadrul categoriilor/secțiunilor
* Categorii sociale grupurile sunt afișate în lista derulantă, lista de grupuri și informații despre grupuri
* Noua pagină afișează noul grup, grupurile dvs., grupurile noi și grupurile create de dvs
* Grupurile pe care le creați pot fi navigate folosind AJAX și afișați informații despre grup, inclusiv membrii care participă și sunt moderati
* Lista de categorii (traducere: ca și lista de etichete) este afișată în vizualizarea grupului (cu o varietate de opțiuni pentru afișarea celor populare)
* Categoriile pot fi create, șterse sau îmbinate în panoul de administrare
* La actualizarea de la o versiune mai mică de 3.8, grupurile principale sunt mutate în grupul „Fără categorie”, care poate fi redenumit
* Grupurile pot fi filtrate pe categorii, prin categorii sau extensii de căutare
* Social Groupies pot mama icoană. Pictograma este afișată în informații despre grup și o pictogramă mică este afișată în lista de grupuri
* Pictogramele grupurilor în care se formează contul sunt afișate în profilul dvs
* Sistemul de gestionare a drepturilor vă permite să controlați dimensiunea pictogramelor și abilitatea de a seta pictograme animate
* Pictogramele pot fi salvate atât în baza de date, cât și în sistemul de fișiere
* Noile drepturi pot acoperi o serie de rețele sociale. grupuri care pot fi create de koristuvach
* Social Grupurile pot fi transmise între koristuvachs. Transferul grupului va fi efectuat de Wikonan, de îndată ce grupul îl va primi
* Moderatorii pot transfera grupuri către alți membri. Tse can buti korisno dacă vlasnik groupi devine inactiv
Modificări ale notificărilor speciale:
* Posibilitatea de a utiliza noul „Swidka vidpovid” pentru vidpovid la ocazii speciale
* Opțiune nouă de cont care vă permite să salvați o copie a notificării de plată, inclusiv trimiterea prin formular
* Caracteristicile pot fi sortate după titlu, dată și director
* Caracteristicile notificării pot fi filtrate după director, titlu, data publicării
* Controlul va fi anunțat. Administratorii pot seta perioada de timp și timpul maxim de alertă pentru grupul de skin.
* Selecțiile de notificare sunt memorate pe toate paginile pentru acțiuni viitoare (mutare, ștergere etc.)
Profil:
* Clienții pot alege acum ce părți ale profilului lor sunt vizibile și pentru cine
* Mai multe câmpuri pentru profilul managerului de cont pot fi personalizate de către administrator
* Imaginile pot fi mutate de la un album la altul
* Coperta albumului este creată din nou dacă imaginea de copertă a fost mutată sau albumul nu este inclus în copertă
Caseta de lumina:
* Lightbox-urile pot fi acum folosite pentru a vizualiza toate imaginile de la prieteni
* Butoanele „Înainte” și „Înainte” pot fi folosite pentru a naviga prin fișierele atașate și pentru a schimba când se ajunge la prima/ultima imagine
Alte modificări și completări:
* Schimbare în sistemul CAPTCHA
* Etichetele subiectului pot fi acum îmbinate și redenumite
* Selecțiile de etichete din panoul de administrare sunt reținute pe toate paginile
* Noile reguli au fost acum actualizate și extinse în partea de jos a paginilor
* Mesajul pentru lista de koristuvachs a fost actualizat: acum există un submeniu pe diverse liste ale forumului (grupuri sociale, imagini și albume, contacte și prieteni și lista de koristuvachs)
* Mesajele eliminate și moderate sunt acum aprinse în panoul de meniu
* Clopotele și fluierele din submeniu în diferite părți ale forumului
* Schimbați meniul de pe panoul de clienți
* Noi drepturi pentru miniaturi sunt disponibile persoanelor de contact. Ai voie să te uiți la miniaturi, dar nu ai voie să te uiți în afara imaginii.
* Vizualizare în RSS: filtru
* Schimbați șabloane, șabloane actualizate
* Permisiuni pentru prefixele subiectelor - prefixele pot vikoriza melodiile unui grup de colaboratori
* Suport anti-spam TypePad
* Verificarea disponibilității unui nume de client în timpul înregistrării folosind AJAX
* Anunțurile pot fi acum închise numai după citirea lor
* Istoricul editării este șters prin panoul de administrare
* Regulile forumului pot fi revizuite în timpul procesului de înregistrare
* Informații prin informații speciale
* Ștergeți folderele de abonament cu un singur clic
* Editare Shvidke pe rețelele sociale. în grupuri în secțiunile „Conversații de la profesori” și „Comentarii înainte de imagine”
* Noi setări de dată pentru notificări
* Îmbunătățirea listei de contacte editate.
Principalele avantaje:
- Shvidka este o bază eficientă bazată pe date
- Interfață care constă din șabloane
- Sistem prin presare
- suport Bagatomovna
- Profiluri de koristuvachs
- Panoul de administrare este apăsat manual
- Număr nelimitat de secțiuni/subiecte/dezvăluiri
- Notificare prin email
- Sprijin din partea COPPA
Respectand cei care au demo-uri pe forum care se pot instala, firma de software nu sfatuieste, mi s-a intamplat sa instalez varianta din stanga, importata de la niste Vareznik. Cu toate acestea, este posibil ca instrucțiunile să nu fie în totalitate în concordanță cu procesul de instalare a unui forum de licență. După instalare, site-ul a fost vizibil, fără nicio notificare.
Pentru a instala vBulletin, accesați panoul de găzduire (butonul cu roată opusă găzduirii din listă), acolo sub „Manager de fișiere”, apoi accesați directorul „www”. Apăsați butonul „Încărcați fișierul în directorul de flux”:
Să mergem la fișierul de pe computer:
Vedem arhive din vBulletin, despachetăm:
Vedem că există fișiere și directoare de care nu avem nevoie, inclusiv directorul domeniului nostru www - cred că nu aveți nimic de care aveți nevoie acolo. Dacă nu îl puneți la rădăcina site-ului, dar în directorul site-ului încă are nevoie de el - nu trebuie să ștergeți directorul www pentru domeniu:
Vedem directorul cu programul de instalare vBulletin, redenumiți-l:
Introdu numele site-ului nostru ca nume al directorului:
Să mergem la secțiunea „Bază de date” a panoului de găzduire:
Să creăm o nouă bază de date MySQL și să avem drepturi de acces complete la ea:
Vă rugăm să rețineți că serverul și baza de date au atribuit automat un prefix numelui contului dvs. cloud de pe serverul de găzduire:
Să mergem la pagina principală a site-ului nostru și să selectăm următoarea notificare vBulletin:
Mergem pe calea către programul de instalare în bara de adrese, solicitându-vă să adăugați „install/install.php”, după care va porni programul de instalare pentru forumul vBulletin:
Programul de instalare vBulletin verifică prezența fișierelor:
În momentul următor se va verifica conexiunea cu baza de date, dar nu va trece prin - pentru că Fișierul de configurare a forumului are date introduse incorecte:
Să mergem la panoul de control al găzduirii, manager de fișiere, să mergem la directorul cu forum, apoi la subdirectorul „include”. Deschideți fișierul „config.php”:
Introducem datele corecte din baza de date în fișierul de configurare, după care se închide:
Să revenim la site, la instalator. Apăsăm „F5”, din care totul este bine, conexiunea cu baza a crescut:
Programul de instalare vBulletin creează tabele în baza de date:
Programul de instalare vBulletin modifică următoarele tipuri de tabel:
Introduceți datele în baza de date:
Filmele sunt importate:
Stilurile sunt importate:
Următoarele sunt importate:
Nu este nevoie să configurați configurarea, programul de instalare vBulletin a arătat totul corect:
Setările standard sunt importate:
Introduceți detaliile administratorului vBulletin:
Administratorul vBulletin a adăugat cu succes:
vBulletin pentru găzduire finalizat cu succes:
După instalarea programului de instalare, fișierele inutile sunt eliminate:
Puteți merge pe forumul vBulletin, vă puteți reconecta și totul funcționează corect:
Orice motor necesită acțiuni speciale pentru a-l optimiza pentru un robot frumos și neted. În episodul nostru vom vorbi despre optimizarea Vbulletin 4.
Deoarece motorul forumului nostru este actualizat constant, nu voi scrie despre optimizarea versiunilor anterioare ale Vbulletin, ci voi începe cu versiunea 4.1.12. Deși am dori să actualizăm treptat acest articol și să-l optimizăm pentru versiuni mai vechi, nu toată lumea va trece la cele mai noi.
Aici voi oferi o serie de exemple pentru a vă face forumul Vbulletin mai puternic și mai simplu (începând cu cele mai simple discursuri, trecând la altele mai complexe). Fii blând, fii respectuos că discursurile care se fac cu mine nu vor fi neapărat făcute cu tine. Prin urmare, faceți toate modificările pe propriul risc.
Mulțumim listei de koristuvachs.
Există o modalitate simplă, doar porniți funcția AdminCP. (Setări -> Opțiuni -> Opțiuni pentru listarea utilizatorilor)
Acest lucru nu este important la nivel global și puteți sări peste el și să nu lucrați, doar aprovizionați-vă cu mâncare și ce aveți nevoie? Deci, având în vedere lista, comercianții pot rezolva problema, pot vedea cine are mai multe cunoștințe, reputație și așa mai departe. Mercenarii tăi profită de asta? Cântând, nu-i așa... dacă tu însuți te-ai răzvrătit împotriva acestei liste?
În ceea ce mă privește, mi se pare că listele sunt date doar pentru a beneficia spammerii, deoarece aceasta este cea mai ușoară modalitate de a colecta toți participanții la forumul Vbulletin 4 pentru distribuirea de spam în mesaje speciale.
În plus, este necesară generarea unei liste de clienți, este costisitor pentru serverele de baze de date și poate duce la o mare distrugere a serverului.
O viteză crescută de procesare va fi furnizată listei de persoane speciale.
Dacă nu ați importat caracteristici de informații de pe dispozitive externe folosind Impex sau alte funcții, vă puteți baza în siguranță pe sortarea după ID pentru informații speciale. Sortarea după ID va funcționa în așa fel încât serverul dumneavoastră de baze de date să nu fie nevoit să arunce anumite informații în tabelul de timp pentru sortarea după nume (roblechi va fi completat cu mult mai mult).
Pentru a face acest lucru, trebuie să scrieți un mic modul cu private_messagelist_filter și să scrieți în pasul următor:
Dacă ($sortfield == "pmtext.dateline") $sortfield = "pm.pmid";
Și gata, ai câștigat private.php doar cu ~20% mai mult.
Ajustăm căutarea efectivă pentru restul pentru a informa corespondentul.
Să mergem la FTP, să căutăm fișierul include /class_userprofile.php și să-l înlocuim în noile date cu acest nume, arată astfel:
$getlastposts = $this->registry->db->query_read_slave(" SELECT thread.title, thread.threadid, thread.forumid, thread.postuserid, post.postid, post.dateline FROM " . TABLE_PREFIX . "post AS post INNER JOIN " . TABLE_PREFIX . " firul ca fir FOLOSIND (threadid) WHERE thread.visible = 1 AND post.userid = " . $this->userinfo["userid"] . " AND post.visible = 1 ORDER BY post.dateline DESC LIMITA 20");
și este înlocuit cu ce (mai precis, ORDER BY):
$getlastposts = $this->registry->db->query_read_slave(" SELECT thread.title, thread.threadid, thread.forumid, thread.postuserid, post.postid, post.dateline FROM " . TABLE_PREFIX . "post AS post INNER JOIN " . TABLE_PREFIX . " firul ca fir FOLOSIND (threadid) WHERE thread.visible = 1 AND post.userid = " . $this->userinfo["userid"] . " AND post.visible = 1 ORDER BY post.postid DESC LIMITA 20");
Este important să bei câteva dintre cele corecte, dar vor apărea în această formă. În acest fel, nu veți putea sorta eficient într-un orar. Pentru clienții cu mai mult de 1000 de notificări, ieșirea va dura aproximativ 10 secunde, iar în cazul nostru va dura mult mai puțin. In primul rand acesta este profilul managerului de cont Vbulletin 4, pentru restul detaliilor va rog sa comunicati.
Verificarea indexului subiectelor.
Dacă forumurile dvs. au o ordine de sortare și sunt instalate fără modificări, așa cum am făcut noi înainte, asigurați-vă că toți indexurile dvs. sunt în tabelele lor. Au fost probleme când indexurile au început să se schimbe din motive necunoscute de mine și anumite forumuri nu au fost deschise.
Vă sugerez să o faceți în așa fel încât sortarea sarcinilor să se bazeze pe dată (ceea ce se numește „dateline”) și, pentru a realiza acest lucru, vom scrie în sfârșit:
ALTER TABLE thread ADD INDEX forumid2_dp (forumid, vizibil, sticky, dateline)
Acest lucru vă va cere să fiți mai precis, vina ta forumid2_dp este vina mamei tale. Vikorist pe propriul risc și rizik.
Aveți grijă când instalați accesorii.
Doar pentru că doriți să lucrați cu module și hack-uri, nu înseamnă că acestea au fost create pentru dvs., ei au exersat pe marile forumuri Vbulletin 4 și nu există milă. Este o modalitate excelentă de a servi ca o conștientizare a relelor de masă, prin acele alte hack-uri.
Desigur, putem presupune că dezvoltatorii nu pot înțelege totul și trec prin toate hack-urile pentru ca mirosurile să nu intre în conflict, dar... Reconfigurați că modulul Vbulletin nu necesită mare valoare în baza de date, reconfigurați că hack-ul are potențial de protecție SQL în' Ektsіy sau XSS. Din păcate, există mii de completări și modificări și pur și simplu nu este posibil să verificați totul. Ar fi mai bine să scrii singur toate hackurile sau să întrebi pe altcineva. Al tău și al tău sunt ai tăi.
Nu corupți tabelele din InnoDB.
Aici, desigur, pot fi calomniat, deoarece acest subiect a fost deja discutat de un milion de ori, dar pot spune cu propriile mele dovezi că lucrez 100% pe tabelele MyISAM în orice scop. Pot procesa 1000 de cereri pe secundă.
Dacă începi deja să înnebunești când pui întrebări, totul se blochează, mai ales în noua căutare Vbulletin, schimbă tabelele InnoDB MyISAM. MyISAM asigură mai multă flexibilitate în jurul înregistrării, astfel încât nu este nevoie să blocați alte înregistrări. InnoDB oferă o gamă largă de opțiuni și vă permite doar să salvați interogări instantaneu. Dacă interogările dvs. sunt scrise direct sub MyISAM, nu trebuie să treceți la InnoDB. DIN PUNCTUL MEU DE VEDERE.
Evaluare Statti
0%
Evaluare
Evaluare utilizator: 0.35 (1 voturi)
- Vedere:
- Inregistrat: 2014.07.07
- Postari: 3,796
- Îmi place doar PunBB:
- 5 ani, 7 luni, 6 zile,
- Îi place: 470
Subiect: Ce forum este mai bun decât vBulletin sau PunBB
VBulletin (Vobla sau Bulka, așa cum ne place să-l numim) este unul dintre cele mai vechi motoare de forum comerciale scrise folosind tehnologiile suplimentare PHP și MySQL. Începând cu lansarea primei versiuni în 2000, a fost realizată o creștere colosală a funcționalității, ceea ce a permis ca VB să fie redusă la lista celor mai scurte produse software.
O licență VBulletin vă va costa în jur de 250 de dolari. Nu vă îndoiți că costul va fi pe deplin justificat și cu siguranță se va plăti singur prin economisirea orelor de lucru și a celulelor nervoase. Majoritatea acestor bănuți merg către dezvoltatori și programatori, care i-ar cheltui pentru îmbunătățirea funcționalității și lansarea de patch-uri și completări (deci, în viitor, toate actualizările vă vor fi livrate fără costuri).
2 Răspunde de către PunBB
- Vedere: Moscova, Sovkhoznay 3, ap. 98
- Inregistrat: 2014.07.07
- Postari: 3,796
- Îmi place doar PunBB:
- 5 ani, 7 luni, 6 zile,
- Îi place: 470
Reproiectarea tuturor funcțiilor VBulletin nu are sens. Acolo au implementat practic tot ce ar putea avea nevoie administratorii forumului. Podcasting, suport pentru mai multe citate, partajare și acoperire în grupuri sociale, sistem de rating (reputație). Pachetul de bază poate fi completat cu extensii de la terți.
Motorul de forum VBulletin creează un impact serios asupra serverului, mai ales atunci când sunt instalate suplimente și scripturi terțe. Pentru a evita problemele cu site-urile tale preferate, va trebui să investești în găzduire decentă. Mai ales dacă anticipați o creștere mare a resursei dvs. în viitor.
3 Răspunde de către PunBB
- Vedere: Moscova, Sovkhoznay 3, ap. 98
- Inregistrat: 2014.07.07
- Postari: 3,796
- Îmi place doar PunBB:
- 5 ani, 7 luni, 6 zile,
- Îi place: 470
Ce forum este mai bun decât vBulletin sau PunBB
VBulletin, datorită rezistenței sale extreme la rău și spamboți, recomandări pentru vikoristan în proiecte serioase. În plus, setările standard și fișierele de configurare pot fi modificate cu ușurință în felul tău, obținând un efect și mai mare. Pe Internet există nenumărate instrucțiuni și ghiduri de la experți populari, deși nu poți avea încredere doar în unul dintre ei.
VBulletin implementează idei la scară largă în cel mai simplu mod. Actualizări continue, servicii de înaltă calitate, extinderi suplimentare și mecanisme de siguranță fiabile - toți banii cheltuiți pe produs sunt cu adevărat adevărat.
4 Răspunde de către PunBB
- Vedere: Moscova, Sovkhoznay 3, ap. 98
- Inregistrat: 2014.07.07
- Postari: 3,796
- Îmi place doar PunBB:
- 5 ani, 7 luni, 6 zile,
- Îi place: 470
Ce forum este mai bun decât vBulletin sau PunBB
Toate funcțiile sunt depășite fără niciun sens - în cea nouă (sau în cele suplimentare) este implementat practic tot ceea ce ar putea avea nevoie un administrator pentru a crea un forum. Există un citat multiplu și suport pentru podcasting, și o comunitate de corespondenți și grupuri sociale, un sistem de reputație excelent și multe altele.
Desigur, pentru vBulletin există un număr mare de personal suplimentar și costisitor, așa că nu vor fi probleme obișnuite cu întreținerea, mai ales cu asigurarea că există un serviciu oficial de asistență. Dezavantajul vBulletin, deși nu foarte mare, este plata suplimentară, de exemplu, pentru blogurile unui freelancer.
În spatele marelui rakhunko, nu există deficiențe în forum. Poate fi recomandat pentru proiecte mari, serioase datorită fiabilității și rezistenței la toate atacurile. Ca urmare, creează un impact semnificativ asupra serverului, mai ales cu instalarea de suplimente, dar pentru proiecte serioase, apelați la servere serioase și la administratori serioși.
Tu, melodios, ai descărcat în mod repetat forumurile pe motorul vBulletin. Forumurile nu mai sunt la apogeul modei, dar vBulletin, ca și înainte, a fost unul dintre cele mai populare motoare. Această versiune rămasă (a cincea) are o serie de probleme care îngreunează viața administratorului. Această statistică ne permite să știm cum sunt exploatate mirosurile.
Prima problemă constă în filtrarea incorectă a datelor clienților. Un anchetator independent de securitate a povestit despre ea, care a decis să-și piardă anonimatul. Aplicația, deși are acțiuni de interconectare, a ajuns în stare critică, ceea ce vă permite să citiți orice fișiere și să compilați cod suplimentar pe întregul sistem.
O altă scurgere a fost depistată de anchetatorii TRUEL IT și identificată cu identificatorul CVE-2017-17672. Acest lucru se datorează particularităților deserializării datelor din motor și poate fi folosit de atacatori pentru a șterge fișiere suplimentare din sistem.
Mai multe detalii despre ambele probleme au fost publicate de programul Beyond Security sub SecuriTeam. Există exploit-uri PoC pentru demonstrarea deversărilor. Să trecem prin aceasta în ordine.
Pregătirea
Ca server, sunt un vikorist al distribuției WAMP.
Fișiere care pot fi citite, comenzi finalizate
De asemenea, motivul primei deversări este logica incorectă la procesarea parametrului routestring, care permite atacatorului să adauge, prin includere, orice fișier de pe disc și să facă față codului PHP pe care cineva îl are.
Calea noastră începe cu fișierul principal – index.php, unde are loc inițializarea programului de bază.
/index.php
48: $app = vB5_Frontend_Application::init("config.php"); ... 60: $routing = $app->getRouter(); 61: $metoda = $routing->getAction(); 62: $template = $routing->getTemplate(); 63: $clasa = $routing->getControllerClass();Să ne uităm la metoda vB5_Frontend_Application::init.
/includes/vb5/frontend/application.php
13: clasa vB5_Frontend_Application extinde vB5_ApplicationAbstract 14: ( 15: funcția publică statică init($configFile) 16: ( 17: parent::init($configFile); 18: 19: self::$instance = new vB5_Fron_instance::$instance ->router = new vB5_Frontend_Routing();21: self::$instance->router->setRoutes();Aici ne putem referi la metoda setRoutes.
47: funcția publică setRoutes() 48: ( 49: $this->processQueryString(); ... 54: if (isset($_GET["routestring"])) 55: ( 56: $cale = $_GET[" rută șirul"];Modificarea în $path elimină valoarea din parametrul routestring. Până atunci, puteți transfera traseul pe marginea forumului, iar ea va fi atrasă.
Să presupunem că am fost promovați /test.
După atribuirea unei urme modificabile codului, care este adăugată ca o bară oblică în capul rândului, dacă este prezent.
/includes/vb5/frontend/routing.php
75: if (strlen($cale) ȘI $cale(0) == "/") 76: ( 77: $cale = substr($cale, 1); // $cale = "test" 78: )include\vb5\frontend\routing.php
83: if (strlen($cale) > 2) 84: ( 85: $ext = strtolower(substr($cale, -4))); 86: dacă (($ext == ".gif") SAU ($ext == ".png") SAU ($ext == ".jpg") SAU ($ext == ".css") 87: SAU (strtolower(substr($cale, -3)) == ".js" )) 88: ( 89: antet ("HTTP/1.0 404 Nu a fost găsit"); 90: die(""); 91: ) 92: )De fapt, inversarea este uimitoare. Cel puțin, puteți evita prezența unei liste de extensii restricționate conectate direct în cod. Acesta este faptul că expansiunea va prevala, simbolurile de la sfârșitul rândului (rândul 85), spune minunea. Apropo, încercăm să extragem un fișier cu extensiile gif, png, jsp, css sau js, serverul este transformat la 404 și scriptul este adăugat la wiki. Odată ce toate verificările au fost finalizate, callApi apelează metoda getRoute a clasei vB_Api_Route. Acesta caută diferite rute care provin din informațiile transmise.
Extensia nu mai este disponibilă pentru participanți
Opțiunea 1. Accesați „site” pentru a citi toate materialele de pe site
Calitatea de membru cu întregul termen desemnat vă va oferi acces la TOATE materialele Hacker, vă va crește economiile personale și vă va permite să acumulați un rating profesional Xakep Score!