человек получил полный доступ к форуму. что делать

mmk · 20 апреля 2008, 15:24:03

Человек получил доступ администратора. как узнать как он это сделал ?? что теперь делать?

еще один баг обнаружил - если отослать ссылку на форум в то время, как я залогинен на форуме - человек по ссылке получает доступ к моему профилю. Сейчас, не этот случай - я теперь вообще никому ссылки не отправляю, но дыра неприятная.

dedmazai · 20 апреля 2008, 15:31:35

Цитата: mmk от 20 апреля 2008, 15:24:03
Человек получил доступ администратора. как узнать как он это сделал ?? что теперь делать?

еще один баг обнаружил - если отослать ссылку на форум в то время, как я залогинен на форуме - человек по ссылке получает доступ к моему профилю. Сейчас, не этот случай - я теперь вообще никому ссылки не отправляю, но дыра неприятная.

Заходишь в php.ini, изменяешь register_globals с 1 до 0

dedmazai · 20 апреля 2008, 15:34:07

Вообщем ищещь там строку
; to possible security problems, if the code is not very well thought of.
register_globals = on
и меняешь на off

mmk · 20 апреля 2008, 15:40:00

Цитата: DedMazai от 20 апреля 2008, 15:31:35
Заходишь в php.ini, изменяешь register_globals с 1 до 0

не найду такого файла

dedmazai · 20 апреля 2008, 15:40:26

Цитата: mmk от 20 апреля 2008, 15:40:00
не найду такого файла

А ты пытался искать?

mmk · 20 апреля 2008, 15:46:14

вот сижу и ищу

mmk · 20 апреля 2008, 16:00:09

в .htaccess нашел такую функцию. джумла перестала ругаться, но в файлах форума никаких ini нет

kas · 20 апреля 2008, 16:41:24

это не в файлах форума. это в PHP интерпретаторе на хостинге твоем лежит он.
нужно создать файл .htaccess, поместить в него следующее:

Код Выделить

php_flag register_globals off

и поместить этот файл в корень твоего форума.
если хостер разрешает хтаццесс и эту директиву конкретно, то будет все ок

mmk · 20 апреля 2008, 18:01:44

Спасибо.