WeiSS
Чудовище, тут нет ясновидящих и не все dcms знают. функцию my_esc() покажи
05 Ноя 2011, 15:43spik
my_esc() это аналог mysql_escape_string, данная функция экранирует "опасные" символы.
08 Ноя 2011, 22:09Чудовище
Выручайте срочно надо, кто шарит скажите в этом коде есть дыра???!!!
- - - - - -
//ANTIHACK by leynix
$cuseragent = $_SERVER['HTTP_USER_AGENT'];
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
$refferer = $_SERVER['HTTP_REFERER'];
$refferer=htmlspecialchars($refferer);
$cuseragent=htmlspecialchars($cuseragent);
$gde=$_SERVER['SCRIPT_NAME'];
if($refferer=='')
{
$refferer='NONE';
}
if(!defined("ADMIN"))
{
$hackparam =$_SERVER['QUERY_STRING'];
$hackparam=htmlspecialchars($hackparam);
$hackcmd = array('<sсriрt>', '%3CSCRIPT%3E', '</sсriрt>', '%3Csсriрt%3E', '%3C/sсriрt%3E', '+document.cookie', 'alert()', '">', '%22', '%27', '<sсriрt 1>', '%3Cscript%201%3E', 'javasсriрt:', '%60', '%3Cs%D1%81ri%D1%80t%3E', 'UNION', 'union', 'cmd=');
$checkcmd = str_replace($hackcmd, 'X', $hackparam);
if ($hackparam != $checkcmd)
{
$sqlsession = $db;
{
mysql_query("INSERT INTO ban_ip (min, max) VALUES(\"$iplong\", \"$iplong\");",$sqlsession);
$q=mysql_query("SELECT * FROM `user` WHERE `ip` = '$iplong'");
while ($kto = mysql_fetch_array($q))
{
if ($hackparam != '0'){
mysql_query("INSERT INTO mail (id_user, id_kont, msg, time) VALUES(\"0\", \"1\", \"Попытка взлома с IP: $iplong и SOFT: $cuseragent .
Атакуемый файл: $gde | Ник хакера: $kto[nick],ему дан бан по IP.\", \"$time\");",$sqlsession);
}else{
mysql_query("INSERT INTO mail (id_user, id_kont, msg, time) VALUES(\"0\", \"1\", \"Попытка взлома с IP: $iplong и SOFT: $cuseragent .
Атакуемый файл: $gde | Хакер в режиме гостя,ему дан бан по IP.\", \"$time\");",$sqlsession);
}
mysql_close();
}
}
die( "<h2>Облом,атака сорвана!</h2><br/>Ваш браузер: <b>$cuseragent</b><br/>Ваш IP: <b>$iplong</b><br/><b>Ваши данные отправленны в милицию,ждите повестку с суд!</b><br/>На Вас возбужденно уголовное дело, по факту не законного взлома сайта!!!" );
}
}
//
//
// определение оператора
TAS
Вроде нет, но там админ может эти теги вводить, а пользователь нет. Т.е. Стоит стать адм и делай что хочешь... Ну как я понял из этого скрипта...
18 Ноя 2011, 4:13M0rbid
Чудовище, в этом коде однозначно есть уг. вероятно что и дыра тоже, но совсем не факт. обратитесь к специалистам напрямую. некоторые предлогают свои услуги в соотв разделе
18 Ноя 2011, 5:08death
Чудовище, нет потому что этот код идет в системные файлы куда не кто не попадет и сам файл защищает сайт но атака проходит как то, вообщем нужно его улучшить
добавлено спустя 45 секунд:
M0rbid, этот код стоит в системные файле поэтому дыр нет 
