[معلومات هوست]

مشكور اخي علي الموضوع

[الصريح جداً]

العفوو حياك الله

أخوي هالكود .. هو كود عمل دالة خاصة بك بإسم clean

داخل هالدالة فيه الكود اللي يمنع عملية اضافة اكواد Html وأعلامها ويوقفها

طبعاً بدون ما تكرر هالكود على كل متغير مصاب

تسويه على شكل هالدالة

ثم تشغل الدالة على أي متغير بالطريقة ذي

clean(here)

here .. هنا المتغير اللي تبي الدالة clean تشتغل عليه ( تفلتره )

اذا اهتميت بهالشي حاول تقرا مبادئ في الـ php حتى تفهمها بشكل أوضح

تشآآآو

[alromnce]

إقتباس: طبعاً بدون ما تكرر هالكود على كل متغير مصاب

مشكور يالغالي على هذا الشرح الجميل والله يوفقك ويسعدك ويخليك لعين من ترجيك

إقتباس: اذا اهتميت بهالشي حاول تقرا مبادئ في الـ php حتى تفهمها بشكل أوضح

وأشكرك على هذه النصيحه الجميله يالغالي

[الصريح جداً]

آمين الجميع ..

حياك الله طال عمرك

تشآآآو

[o24host.com]

يعطيك العافيه ممتاز اكثر من رائع

[الصريح جداً]

الله يعافيك ..

تشآآآآآآآآآو

[alromnce]

أخوي ^*GENIUS*^

اثناء تصفحي لموقع ترايدنت وجدت أحدى الأخوه نقل موضوعه عن موقع php



الدالة عبارة عن فلترة للحقل عن javascript, html, sql injections, and RFI ..

إقتباس: <?php function entities($text){ $text = ""; for ( $i = 0; $i <= strlen($text) - 1; $i += 1) { $text .= "&#" .ord($text{$i}); } return $eresult; } function filter($text){ if (preg_match("#(on(.*?)\=|script|xmlns|expression| javascript|\>|\<|http)#si","$text",$ntext)){ $re = entities($ntext[1]); $text = str_replace($ntext[0],$re,$text); } $text = mysql_real_escape_string($text); return $text; } foreach ($_POST as $x => $y){ $_POST[$x] = filter($y); } foreach ($_GET as $x => $y){ $_GET[$x] = filter($y); } foreach ($_COOKIE as $x => $y){ $_COOKIE[$x] = filter($y); } ?>

ولقد وجدت كذلك أثناء تصفحي لإحدى المواقع داله مشابهه للسابقه وهي :

إقتباس: function security_mtwer($mtwer) { if(is_array($mtwer)) { $mtwer = array_map('security', $mtwer); } else { if(!get_magic_quotes_gpc()) { $mtwer = htmlspecialchars($mtwer, ENT_QUOTES); $mtwer=addslashes(trim($mtwer)); } else { $mtwer = htmlspecialchars(stripslashes($mtwer), ENT_QUOTES); $mtwer=addslashes(trim($mtwer)); } $mtwer = str_replace("\\", "\\\\", $mtwer); } return $mtwer; } $_POST = security_mtwer($_POST); $_GET = security_mtwer($_GET);

أحببت ان أضيف هذه الإضافات ليتم التعليق عليها ومشاركتنا في كون اي أفضل منهن ولماذا

وأعتذر لإستاذي العزيز ^*GENIUS*^

[الصريح جداً]

حياك الله

شكراً للإضافة كلها تؤدي الغرض لكن انت اختار الأقل في عدد السطور حتى يكون سكريبتك خفيف

وما يثقل عليك .. بالتوفيق

تشآآآو

[alromnce]

أشكرك أخوي على التوضيح ولكن عندي سؤال

وأدري أشغلتك معااي

انا يوم جيت اسوي اللي قلتلنا عليه قلت ابي اكشف عن موقعي ولقيت هذي الثغرات

كود:

http://www.site.com/vb/showthread.php?goto=newpost&t=578#goto_displaymodes<script>alert('hacking%20xss')</script>

http://www.site.com/vb/newreply.php?do=newreply&amp;noquote=1&amp;p=8682<script>alert('hacking%20xss')</script>

http://www.site.com/vb/sendmessage.php?do=sendtofriend&amp;t=594<script>alert('hacking%20xss')</script>

http://www.site.com/vb/private.php?s=<script>alert('hacking%20xss')</script>

http://www.site.com/vb/search.php?do=finduser&amp;u=113<script>alert('hacking%20xss')</script>

http://www.site.com/vb/forumdisplay.php?s=<script>alert('hacking%20xss')</script>

http://www.site.com/vb/index.php?s=<script>alert('hacking%20xss')</script>

http://www.site.com/vb/faq.php?s=<script>alert('hacking%20xss')</script>

فياليت توضح لي كيف تتم سد هذي الثغرات لاني سويت اللي قلت لي والمشكله ان المنتدى صاير مايشتغل بسبب ان الحركه الي قلتلنا عليها هي تحذف الكوكيز وابي اعرف بالتفصيل كيف افلتر هذه الثغرات وكيف أسدها

فياليت يا اخوي الغالي ابي شرح مفصل لاني أخاف اسوي شيء في المنتدى واخطي وياليت يكون الشرح بالصور يكون افضل

ومارايح ننساك من دعائنا أبدا الله يبارك فيك وفي ذريتك

[Mustafa Albazy]

أخوي هاذا ما تعتبر ثغرات خلاص

هاذا للنسخ القديمة جداً الان ما عاد تشتغل بس قلي كم النسخة الي مركبة


++++++++++++++


مشكور اخوي أبو عابد ما تقصر طال عمرك

[alromnce]

انا موعارف يوم كتبت الرد وموقعي صرت ما اقدر ادخل عليه

إقتباس: Fatal error: Maximum execution time of 30 seconds exceeded in /home/site/public_html/vb/includes/functions.php(5 166) : eval()'d code on line 65

فيه حل والعذر والسموحه لو كان الرد مو في مكانه بس من العجله واني مختبص المنتدى مو راضي يشتغل نهائياً

ابي فزعتكم يارجال

[alromnce]

إقتباس: اقتباس من مشاركة alromnce      Fatal error: Maximum execution time of 30 seconds exceeded in /home/site/public_html/vb/includes/functions.php(5 166) : eval()'d code on line 65

هلا باأخواني الاعزاء سبب المشكله هي هاك ضغط وتسريع تصفح المنتدى لكن حبيت اتأكد لكن محد اكدلي عليه

[Mustafa Albazy]

أخوي انت معدل على ملف function.php

[alromnce]

لا يالغالي انا ماعدلت عليه بس انا حطيت ملف xss.php

في المجلد vb
زي ماقال لنا أخوي ^*GENIUS*^

وجلست يومين وبعدها تقفل نهائيا مايمديني اشوف المنتدى نبي حل الله يعزكم ويخليكم ذخر لمن يرجيكم

[Mustafa Albazy]

إقتباس: اقتباس من مشاركة alromnce      لا يالغالي انا ماعدلت عليه بس انا حطيت ملف xss.php في المجلد vb زي ماقال لنا أخوي ^*GENIUS*^ وجلست يومين وبعدها تقفل نهائيا مايمديني اشوف المنتدى نبي حل الله يعزكم ويخليكم ذخر لمن يرجيكم

طيب شيل الملف الي خليتة + الأشياء الي ضفتهم في بقيت الصفحات وشوف بيشتغل ولا لا

بس غريبة ليش تخليهم في المنتدى والمنتدى مافية ثغرات من هل النوع الى اذا مركب هاكات ممكن يكون في الهاك نفسة

[alromnce]

أخوي العزيز IrIsH

انا شلت الملف اللي انا ذكرته واللي واللحين والمنتدى انا ما اقدر ادخل عليه ومايشتغل اصلا

وربي قهر ابي حل يالنشاما

[Mustafa Albazy]

حط رابط موقعك + أفتح موضوع في قسم حل مشاكل المنتديات

لئن هاذا مضوع ثاني مالة دخل بمشكلتك

+ حط كل ماسويت في المنتدى علشان نشوفلك الحل المناسب

والسلام عليكم

[T.U.N]

الله يعطيك العافيه

[الصريح جداً]

العفو الله يعافيكم ..

بالنسبة لك أخوي alromnce

توجه لملف includes/functions.php

وشف السطر 166 .. انسخه لنا هنا لا هنت

فيه أحد معدل عليه .. اعتقد انك مغير مسارات او شي كذا بطريقة خاطئة ..

تشآآو

[fahd4.com]

يعطيك العافيه ياعسل