Форум TBDev - TBDev v2.1.8 (16.11.09) NoForum

Форум TBDev ( http://bit-torrent.kiev.ua/index.php )

- Последние новости ( http://bit-torrent.kiev.ua/forumdisplay.php?f=4 )

- - TBDev v2.1.8 (16.11.09) NoForum ( http://bit-torrent.kiev.ua/showthread.php?t=6668 )

TBDev v2.1.8 (16.11.09) NoForum

По причине того что открылся SVN, этот файл в теперь архиве и обновляться больше не будет.

Для того чтобы скачивать всегда самую свежую версию прочитайте темы:
Открылся SVN
Как качать из SVN

15.09.09
С форумом простились, аминь!

Мелкие пакости правки, и прочее прочее прочее:

1. Переведены языковые файлики на ArrayAccess.
2. Блокировка скрипта если включен register_globals или не забитыми всяким хламом переменными
3. Привязка кукисов к подсети 255.255.0.0
4. Еще всякие мелочки, кому надо - diff в помощь

04.10.09

1. Исправлен баг с gzip()
2. Это все

17.10.09

1. Исправлена XSS в browse.php
2. Исправление проблемы пропадания расширения у картинки, если оно состояло из 4-х символов (.jpeg)
3. Мелкие правки

17.10.09-r2

1. Исправлена уязвимость позволявшая перехватить логин пароль и имя доступа к БД

20.10.09

1. XSS в takesignup.php
2. Убран лишний запрос в announce.php

12.11.09

1. Исправлена привязка кукисов к IP

16.11.09

1. Исправлен аннонсер

Скачать движок

Цитата:

1. Переведены языковые файлики на ArrayAccess.

Теперь перебор по словарю быстрее или в чём отличие от предыдущей версии?

Удобнее переводить ;)

Yuna
Можешь запостить что нужно удалить и тд? Многим это пригодится, так как у многих стоят моды.... и сравнивать файлы мало кто будет...

Cool_Boy666 прав, если тебе не сложно выложи список что и где изменить

functions.php

(Защита кукисов)

ето

PHP код:






		







			




































or die(











"dbconn: mysql_select_db: " 











. 











mysql_error











());

заменить на

PHP код:






		







			




































or die(











"dbconn: mysql_select_db: " 











+ 











mysql_error











());

после

PHP код:






		







			




































unset(











$GLOBALS











[











"CURUSER"











]);

добавить

PHP код:






		







			




































if (











COOKIE_SALT 











== 











''











)






        die(











'Скрипт заблокирован! Измените значение COOKIE_SALT в файле include/init.php на случайное'











);

Ето

PHP код:






		







			




































if (!











$SITE_ONLINE 











|| empty(











$_COOKIE











[











"uid"











]) || empty(











$_COOKIE











[











"pass"











])) {

Изменить на

PHP код:






		







			
























$c_uid 











= 











$_COOKIE











[











"uid"











];






    











$c_pass 











= 











$_COOKIE











[











"pass"











];













    if (!











$SITE_ONLINE 











|| empty(











$c_uid











) || empty(











$c_pass











)) {

Ето

PHP код:






		







			
























$sec 











= 











hash_pad











(











$row











[











"secret"











]);






    if (











$_COOKIE











[











"pass"











] !== 











$row











[











"passhash"











]) {

Изменить на

PHP код:






		







			
























$subnet 











= 











split











(











'.'











, 











getip











());






    











$subnet











[











2











] = 











$subnet











[











3











] = 











0











;






    











$subnet 











= 











implode











(











'.'











, 











$subnet











); 











// 255.255.0.0






    











if (











$c_pass 











!== 











md5











(











$row











[











"passhash"











] . 











COOKIE_SALT 











. 











$subnet











)) {

Ето

PHP код:






		







			
























setcookie











(











"uid"











, 











$id











, 











$expires











, 











"/"











);






        











setcookie











(











"pass"











, 











$passhash











, 











$expires











, 











"/"











);

Изменить на

PHP код:






		







			
























$subnet 











= 











split











(











'.'











, 











getip











());






    











$subnet











[











2











] = 











$subnet











[











3











] = 











0











;






    











$subnet 











= 











implode











(











'.'











, 











$subnet











); 











// 255.255.0.0













    











setcookie











(











"uid"











, 











$id











, 











$expires











, 











"/"











);






    











setcookie











(











"pass"











, 











md5











(











$passhash











.











COOKIE_SALT











.











$subnet











), 











$expires











, 











"/"











);

Закоментировать

PHP код:

И в файле init.php добавить строку
// SECURITY

PHP код:






		







			
























define 











(











'COOKIE_SALT'











, 











'заполнить'











); 











// Заполните эту переменную любым мусором, сиволом эдак 32 - нужно для соли кукисов

bans.php

Ето

PHP код:

Изменить на

PHP код:






		







			
























$remove 











= 











intval











(











$_GET











[











'remove'











]);

Над

PHP код:






		







			




































if (











$_SERVER











[











"REQUEST_METHOD"











] == 











"POST" 











&& 











get_user_class











() >= 











UC_ADMINISTRATOR











)

Добавить

PHP код:






		







			




































function 











is_good_ip











(











$ip_addr











) {






    if (











preg_match











(











"/^(\d{1,3})\.(\d{1,3})\.(\d{1,3})\.(\d{1,3})$/"











, 











$ip_addr











)) {






        











$parts 











= 











explode











(











"."











,











$ip_addr











);






        foreach (











$parts 











as 











$ip_parts











) {






            if (











intval











(











$ip_parts











) > 











255 











|| 











intval











(











$ip_parts











) < 











0











)






                return 











false











;






        }






        return 











true











;






    } else






        return 











false











;






}

После

PHP код:






		







			
























stderr











(











$tracker_lang











[











'error'











], 











$tracker_lang











[











'missing_form_data'











]);

Добавить

PHP код:






		







			




































if (!











is_good_ip











(











$first











) || !











is_good_ip











(











$last











))






        











stderr











(











'Ошибка'











, 











'А че это ты такое вместо айпишников ввел?'











);

Ето

PHP код:






		







			
























header











(











"Location: 











$DEFAULTBASEURL$_SERVER











[











REQUEST_URI











]











"











);

Изменить на

PHP код:






		







			
























header











(











"Location: 











$DEFAULTBASEURL











/bans.php"











);

Satana2000000
он выложит за деньги:)

Кстати не понял: для чего теперь не удаляется кука

PHP код:

(закомментирована)?

Softovic
Для того что-б нельзя было сразу после выхода ре-регнутся ;)

Yuna

Ааа, защита от дуракааа :)

Thanks for this;) 10x

But is this safer source code than previous versions or this is BETA or something other!?!?!?!??:)

Osiris
Use fucking, google-translator!

google translator - translate wrong:D

хм.. интересно, это только у меня выбивает пользователей, не всех конечнО, но есть такое.. может где-то не так прописал вышенаписанное? хотя сравнивал файло из архива со старым и все правильно.

Оно й должно выкинуть и потом нада залогиниться наново

nah_vse

Возможно еще надо почистить куки.

зачем это надо?
ето

PHP код:






		







			




































or die(











"dbconn: mysql_select_db: " 











. 











mysql_error











());

заменить на

PHP код:






		







			




































or die(











"dbconn: mysql_select_db: " 











+ 











mysql_error











());

невижу смысла...

Цитата:

Сообщение от VVereVVolf

невижу смысла...

правильно, заменять надо наоборот!

Yuna , Вот теперь понятнее :)

Пути так и остались раскрыты

/testip.php?ip=>

KpacaveLj , действительно ! И чем только занимаются эти бета-тестеры ? :]]]

я первый написал про это на античате:cool:

там нужно также как и с баном

вопрос на дурака .

Скрипт заблокирован! Измените значение переменной COOKIE_SALT в файле include/init.php на случайное

всё поизменял ничего не вышло....... помоги новичку...