Qpage

[imported_n1ghtmare]

E' un CMS di dimensioni ridotte rispetto a quelli più usati ed è solo in lingua inglese ma è facile da configurare, è fatto utilizzando tanto PHP, MYSQL e poco JavaScript (giusto per la pagina di amminsitrazione), l'hò fatto ad uso personale e non prevede la perdita della propria password.
Nella seconda release ho aggiunto i Feed RSS, è molto leggero e per ora lo uso solo io se siete interessati ai sorgenti potete farne il download da qui
Invece per vedere una demo potete fare riferimento al mio sito anche se ho cambiato i CSS rispetto a quelli iniziali che potete rivedere nella pagina di amministrazione.

 

[jacoboss]

vabbuò se ti scordi la password accedi a MySQL e gli dai un bel

SELECT * FROM `Users` WHERE `Username` = 'pippo';

ma come gestisci gli utenti di MySQL?
lo cercavo nella pagina install.php ma non l'ho trovato...

altra cosa a sicurezza come è messo?

 

[imported_opocaj]

Nella pagina index.php vedo delle GET che poi passi ad una query MySQL senza alcuna protezione, mi sa che dovresti inserire qualcosa tipo mysql_real_escape_string o quantomeno un addslashes. Ora non ho visto se è sfruttabile (mi scazza installarlo e provarlo), ma credo sia buona per una SQL Injection.

 

[meh.]

Nella pagina index.php vedo delle GET che poi passi ad una query MySQL senza alcuna protezione, mi sa che dovresti inserire qualcosa tipo mysql_real_escape_string o quantomeno un addslashes. Ora non ho visto se è sfruttabile (mi scazza installarlo e provarlo), ma credo sia buona per una SQL Injection.

lib-php/control.php:22

  function control()
  {  
      // Avoid XSRF
      /*if ( false && ! preg_match ( "/http:\/\/" . $_SERVER[ 'SERVER_NAME' ] .>
       $_SERVER [ 'HTTP_REFERER' ] ) )
       {
       Error ( 'Bad referrer.' );
       }*/
    
      foreach ($_GET as $key => $var) {
          $_GET[$key] = mysql_escape_string(htmlspecialchars($var));
      }  
    
      foreach ($_POST as $key => $var) {
          $_POST[$key] = mysql_escape_string($var);
      }  
  }

index.php:17

control();

 

[imported_opocaj]

Thanks meh. Usala e dovresti risolvere ogni robba.

 

[imported_n1ghtmare]

Thanks meh. Usala e dovresti risolvere ogni robba.

Non hai capito quella funzione l'hà trovata fra le librerie ed è puntualmente chiamata da ogni script in cui sia necessario.

 

[imported_opocaj]

Non lo avevo assolutamente notato (manco c'ho guardato in lib-php). Allora scusatemi, fuck me e via, come se non avessi parlato... attmg: