phpbb

vreau sa stiu daca exista un hack sau addon pentru phpBB2 in care poti adauga coduri html sau php cum exista si pentru vbulletin tagul "[php]" si tagul "[html]".
Genul:

PHP Cod:

<?
$handle=fopen('a.php',"r");
$a=fread($handle, 9999);
echo "$a";
?>

Cod HTML:

<html>
<head>
<title>
Ce mai faci?
</title>
</head>
<body bgcolor="blue">
<forn color="red">Bine</font>
</body>
</html>

Mesaj iniţiat de vasilesq

http://en.wikipedia.org/wiki/SQL_injection pt a te ferii de sql injection foloseste functia mysql_real_escape_string(). uite cum se foloseste: http://www.php.net/manual/en/functio...ape-string.php
http://www.testingsecurity.com/how-t.../XSS-Injection
pt a te ferii de xss injection foloseste htmlspecialchars(). uite cum se foloseste: http://www.php.net/manual/en/functio...ecialchars.php

vasilesq, ce legătură are ce scrii tu aici cu ce a întrebat el?

Mesaj iniţiat de dj24bdg

defapt...daca te referi la SQL INJECTION .... sunt mai multe metode de a te ferii .... de exemplu: strip_tags() dar cel ami bine e sa folosesti proprietatea $_POST'ului si $_GET sunt array...defapt uite un security.php mai l-am postat si pe alte forumuri...inca trebuie lucrat la el dar erge cat de cat bine daca nu este un forum de IT sau SOFT

PHP Cod:

<?php

//Luam ip
$ip = getenv('REMOTE_ADDR');
$ip = mysql_real_escape_string($ip);

//Verificam daca e banat cumva
$r_vban = mysql_query("SELECT * FROM `banlist` WHERE `ip` = '".$ip."'");
if(mysql_num_rows($r_vban) > 0 )
    {
        die( 'Se pare ca esti banat pe acest site' );//Daca este banat ii interurpem functionalitatea siteului
    }
    
//Cuvinte interzise
$cuvinte_interzise = array("union","del","insert","update","drop","select","$", "script");

//Daca sesiunea ban nu a fost inca initializata o initializam cu 0
if($_SESSION['ban'] == NULL )
    {
        $_SESSION['ban'] = 0;
    }

//Stim ca valorile $_POST sunt array asa ca il putem aprcurge cu foreach 
foreach($_POST as $value)
{
    $value = strtolower($value);//Valorile postate le facem in caractere mici
    foreach($cuvinte_interzise as $word)//acuma parcurgem cuvintele interzise
        {
            if(substr_count($value, $word) > 0)//Daca gaseste in array'ul cu cuvinte interzise o valoare postata
            {
                $_SESSION['ban']++;//Sesiunea ban este marita cu o unitate
                die("Atentionare securitate!schimbati valorile postate si reincercati -> $ip, nu uita la 5 atentionari se va primii ban ip");//Si intrerupem scriptul si afisam un mesaj de atentionare
            }
        }
}
//Stim ca valorile $_GET sunt array asa ca il putem aprcurge cu foreach 
foreach($_GET as $value)
{
    $value = strtolower($value);//Valorile postate le facem in caractere mici
    foreach($cuvinte_interzise as $word)//acuma parcurgem cuvintele interzise
        {
            if(substr_count($value, $word) > 0)//Daca gaseste in array'ul cu cuvinte interzise o valoare postata
            {
                $_SESSION['ban']++;//Sesiunea ban este marita cu o unitate
                die("Atentionare securitate!schimbati valorile postate si reincercati -> $ip, nu uita la 5 atentionari se va primii ban ip");//Si intrerupem scriptul si afisam un mesaj de atentionare
            }
        }
}

//Daca seiunea ban este mai mare ca 5
if($_SESSION['ban'] > 5 )
    {
        $sql_ch = "SELECT * FROM `banlist` WHERE `ip` = '".$ip."'";//Verificam daca userul este deja banat
        $res_ch = mysql_query($sql_ch);
        if (mysql_num_rows($res_ch) == 0 )//Daca nu este banat
            { 
                mysql_query("INSERT INTO `banlist` (`ip`) VALUES ('".$ip."')") or die(mysql_error());//Il banam
            }
        unset($_SESSION['ban']);//Si distrugem sesiunea
    }
?>

si ca sa nu mearga fopen schimbi permisiunile (CHMOD'ul) in 644 ...

LA FEL ŞI PT TINE! STAY ON TOPIC!
Ontopic: nu e nevoie de plugin, poţi să foloseşti [code=php] şi închizi cu [/code]

ms Johan
Dar nu cred ca merge si in phpBB2...Sau e alta sintaxa?

http://www.phpbb.com/community/faq.php?mode=bbcode