безграмотный
Новичок
Voffka Детский сад, это административная часть, на публичной плиз, что нить, или слабо?
-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Cкидки на ABO.CMS для всех членов PHP Club!
- Автор темы confguru
- Дата начала
Voffka
Guest
и вобще хавтит обманывать самого себя и защищать дырявый продукт , по функционалу або мне очень нравится и нетолько мне , но по дырявости догоняет phpbb - этот факт подкреплём моими постами выше
-~{}~ 05.10.05 17:23:
-~{}~ 05.10.05 17:23:
нет , толкьо что мне за это будет ? я за спасибо не работаю
безграмотный
Новичок
Какими постами, ничего из приведённого или не работает или скоро перестанет работать, лень проверять...
История соранит твоё имя в веках или заклеймит позором, выбирай
Voffka
Guest
молодец исправил то что я показал
вот ещё ...
<select name="vacancies_order_by" >
<option value="id DESC" selected>в порядке обратном добавлению</option>
<option value="id" >в порядке добавления</option>
</select>
вот ещё ...
<select name="vacancies_order_by" >
<option value="id DESC" selected>в порядке обратном добавлению</option>
<option value="id" >в порядке добавления</option>
</select>
itprog
Cruftsman
Всё что доступно пользователю должно быть защищено. А если админкой могут пользоваться не только один администратор, а еще кто-то (ньюсмакер, модератор и т.п.)? Или такого (разделения прав) не реализовано в abocms?
В админке действительно на каждом втором шагу SQL-инъекции.
Плюс маленький баг - возможность раскрытия пути , куда установлена система, любым прохожим (/home/armex/html/cms-test/, как получил говорить не буду).
безграмотный, а мне вот интересно, какое отношение имеешь к abo.cms?
В админке действительно на каждом втором шагу SQL-инъекции.
Плюс маленький баг - возможность раскрытия пути , куда установлена система, любым прохожим (/home/armex/html/cms-test/, как получил говорить не буду).
безграмотный, а мне вот интересно, какое отношение имеешь к abo.cms?
Voffka
Guest
"Батенька, версию 2.3 делал другой программер это факт, говорите по существу, про ABO.CMS 3.x"
3ю делал либо тотже самый либо аналогичной квалификации
3ю делал либо тотже самый либо аналогичной квалификации
безграмотный
Новичок
Если бы ты ещё сам проверял, что пишешь цены бы твоим постам не было, но увы не работает...
-~{}~ 05.10.05 18:36:
Либо дырки найденые тобой не есть дырки...
-~{}~ 05.10.05 18:38:
Разделение прав реализованно.
Хоть одну __работающую__ инъекцию в студию
Сделал пару сайтов на ней, ABO.CMS очень нравиться...
Voffka
Guest
"Всё что доступно пользователю должно быть защищено"
защищено должно быть всё тк администраторы тоже разные бывают в частности бывают тупые которые впишут ' в поле сортрировки
защищено должно быть всё тк администраторы тоже разные бывают в частности бывают тупые которые впишут ' в поле сортрировки
безграмотный
Новичок
Я общался сегодня по ICQ с разработчиком, значения выпадающего списка не передаются в БД, они имеют вид используемый при сортировки исключительно для наглядности, но никаким боком с SQL инструкцией не соприкасаются... Именно поэтому приведённый тобой кусок HTML кода никакой опасности не представляет
Voffka
Guest
это система не для порталов аля свежий варез )
armex
Guest
Производится загрузка информации в каталог по средством файлов форма CSV или CommerceML.
(в демо-версии отключено)
По средством модуля Магазин.
Поcмотреть здесь:
Заказы: http://demo.abocms.ru/admin.php?lang=rus&name=shop
Инф о заказе: http://demo.abocms.ru/admin.php?lang=rus&name=shop&action=vieworder&id=38&start=1
Инф о клиенте: http://demo.abocms.ru/admin.php?name=siteusers&action=userinfo&id=8
безграмотный
Новичок
itprog то, что было украдено это версия 2.3, текущая актуальная версия 3.1.x
SibProgrammer
Новичок
безграмотный
Идем в "регистрацию пользователя". В каких полях есть возможность - вставляем по кавычке. Жмем "регистрация". Получаем:
Database error: Invalid SQL: INSERT INTO demo_abocms_ru_rus_siteusers SET group_id = '9', siteusername = ''', password = '''''', surname = ''', firstname =
Кстати, такое подозрение, что кто-то пытается сэкономить на тестерах, закинув инфу об этой cms на phpclub
)
Идем в "регистрацию пользователя". В каких полях есть возможность - вставляем по кавычке. Жмем "регистрация". Получаем:
Database error: Invalid SQL: INSERT INTO demo_abocms_ru_rus_siteusers SET group_id = '9', siteusername = ''', password = '''''', surname = ''', firstname =
Кстати, такое подозрение, что кто-то пытается сэкономить на тестерах, закинув инфу об этой cms на phpclub
)Marquis
Новичок
сорри что поднял тему, но накипело ...
тут нужно было поставить на один проект эту самую дрянь, называемую AboCms. поставил ... и ужаснулся.
в последнем релизе в одном из sql запросов не экранируются входящие данные, sql такой:
данный баг на данный момент присутствует на всех ихних проектах. в суппорт отписался, как только поправят отпишусь где нашел, собсна как всегда нашел на самом видном месте.
тут нужно было поставить на один проект эту самую дрянь, называемую AboCms. поставил ... и ужаснулся.
в последнем релизе в одном из sql запросов не экранируются входящие данные, sql такой:
Код:
SELECT
{field}, {field}, {field}, (({field} LIKE '%%')) AS {alias}
FROM
{table} USE INDEX ({index})
WHERE
(({field} LIKE '%%'))>0 ORDER BY {field} DESCgonza
Новичок
ой как интересно....
Чтож я этот тред пропустил то...
Кто тут громко кричал про паблик часть?
Database error: Invalid SQL: SELECT p.id, count(*)=1 AS dinamic_true, p.product_title, p.product_inf, p.image_middle, p.price_1, p.price_2, p.price_3, p.currency, g.group_title, pt.ptype_name FROM cms_rus_catalog_products p, cms_rus_catalog_groups g, cms_rus_catalog_ptypes pt WHERE p.active = 1 AND p.group_id=g.id AND p.ptype_id=pt.id AND p.product_title LIKE "%" OR 1%" GROUP BY id LIMIT 0, 50
MySQL Error: 1064 (You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '" GROUP BY id LIMIT 0, 50' at line 4)
Session halted.
http://demo.abocms.ru/catalog/?action=searchresult&sdata[pname]="+OR+1&sdata[ptype_id]=0&sdata[pprice1]=&sdata[pprice2]=&sdata[group_id]=0&sdata[dynamic][50]=0&sdata[dynamic][53]=&sdata[dynamic][54]=0&sdata[dynamic][55]=
Первая попавшаяся под руку форма на сайте...
мдя...
зы. год то какой... диггеры...
Чтож я этот тред пропустил то...
Кто тут громко кричал про паблик часть?
Database error: Invalid SQL: SELECT p.id, count(*)=1 AS dinamic_true, p.product_title, p.product_inf, p.image_middle, p.price_1, p.price_2, p.price_3, p.currency, g.group_title, pt.ptype_name FROM cms_rus_catalog_products p, cms_rus_catalog_groups g, cms_rus_catalog_ptypes pt WHERE p.active = 1 AND p.group_id=g.id AND p.ptype_id=pt.id AND p.product_title LIKE "%" OR 1%" GROUP BY id LIMIT 0, 50
MySQL Error: 1064 (You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '" GROUP BY id LIMIT 0, 50' at line 4)
Session halted.
http://demo.abocms.ru/catalog/?action=searchresult&sdata[pname]="+OR+1&sdata[ptype_id]=0&sdata[pprice1]=&sdata[pprice2]=&sdata[group_id]=0&sdata[dynamic][50]=0&sdata[dynamic][53]=&sdata[dynamic][54]=0&sdata[dynamic][55]=
Первая попавшаяся под руку форма на сайте...
мдя...
зы. год то какой... диггеры...