config.php [DONE] nastavenie kodovania pre mb_string: mb_internal_encoding("UTF-8"); [DONE] vypnutie chybovych hlaseni: error_reporting(0); [DONE] nastavenie SSL protokolu pre admin: $GLOBALS['rsconfig']['ssl']=true; [DONE] nastavenie konstanty PASSWORD_SALT pre vypocet odtlackov hesiel admin.html [DONE] opravit obmedzenie dlzky hesla na 100 znakov [DONE] uplne nahradenie loginu pomcou admin.php [DONE] administracia ma HTML5 doctype autor.php [DONE] zmenit vypocet hashu hesla rss.php [DONE] kodovanie do headers [DONE] title z nazvu webu, kontakt a description z configu [DONE] fix SQLi (mnozstvi) readers.php [DONE] zakazat html v user datach: login a celejmeno pri vytvoreni a editacii profilu [DONE] osetrit formular na XSS htmlspecialchars [DONE] fixnut viacnasobne escapovanie pri vtorbe profilu, OMG to je bordel :-( [DONE] zmenit vypocet hashu hesla tak ako pre users v admine? [DONE] doplnená captcha pri registracii [?] upraviť readers aby sa hash neprenášal do formuláru? trmyreader.php [DONE] skontrolovat osetrenie vstupov [DONE] zmenit vypocet hashu hesla tak ako pre users v admine? rservice.php [DONE] zrusenie funcie zasielania sprav emailom - pouzity link mailto: atom.php [DONE] kodovanie do headers [DONE] title z nazvu webu, autor z configu [DONE] fix SQLi (mnozstvi) search.php [DONE] osetrenie vstupu: rstema, rskolik, rskolikata [DONE] doplnenie testu: if (($pocet_slova) != 0) {... [DONE] doplnenie moznosti triedenia vysledkov podla priority [DONE] osetrenie vstupu rskde [DONE] oprava vyhladavania specialnych znakov % a _ trclanek.php [DONE] antispam: return(str_replace(array("@", "."), array("@", ".") , $str)); version.php [DONE] uprava infa o verzii view.php [DONE] http header 404 pri neexistencii clanku [DONE] oprava SQLi v hlasovani - mn_hodnoceni /admin/aengine.php [DONE] chybajuci break na r.35 /admin/aimggal.php [DONE] doplnenie podpory pre GIF nahlady [DONE] doplnenie funkcie na presun obrazku do inej galerie [DONE] doplnena funkcia na hromadny upload fotografii /admin/areaders.php [DONE] oprava XSS - htmlspecialchars /admin/astdlib_comment.php [DONE] oprava regularu + nahrada wordwrap [DONE] zmena VycistiKoment na: return strip_tags($txt, '<a><span><b><u><i><pre>'); - nutny test /admin/astdlib_file.php [DONE] uprava funkcie CisteJmenoSouboru [DONE] doplnenie whitelistu na povolene pripony /admin/adownload.php [DONE] pridanie podmienky vlozenia zaznamu len ak nie je chyba [DONE] zmena $_POST na $GLOBALS $_POST nema osetrene na pripadne automaticke escapovanie, co sa prejavi chybami pri magic_quotes_gpc = on /admin/astdlib_mail.php [DONE] overit spravnost kodovania mailu pri utf-8 kodovani /admin/asystem.php [DONE] doplnit odhlasovanie na URL (admin) + link na frontend /admin/atopic.php [DONE] r.89,234, - zmenit text na LANG konstantu RS_TOP_SR_ZPET [DONE] test na existeniu obrazku temy pred zobrazenim (neexistujuci obrazok k teme generoval error log) /admin/auser.php [DONE] AcEditUser() - presun sql escapovania az po testoch [DONE] htmlspecialchars v editacnych formularoch [DONE] AcVazbaUser(), OptOmzSezUziv() - zakaz vytvorenia vazby na neexistujuceho usera [DONE] povolenie max. dlzky username z 10 na 20 znakov [DONE] r.309,325,495,511 - povolit dlhsie heslo - 100 znakov [DONE] nahrada strlen za mb_strlen [DONE] zmenit vypocet hashu hesla [DONE] doplnenie kontroly na silu hesla: dlzka + velke male znaky cislice - regexp: ^(?=(?:.*?\d){1})(?=(?:.*?[A-Z]){1,})(?=(?:.*?[a-z]){1,}).{8,}$ /spefce.php [DONE] oprava chyby v banners: Banners($poloha = 0) { return (Banners_str($poloha)); } /admin/hash_functions.php [DONE] hash funcie - generovanie noveho typu z plaintext hesla; prevod stareho md5 hashu na novy hash (vyuzitie pre instalacny script) /hash_generator.php [DONE] generator pre novy typ hashu, generuje hash z hesla a SALTu v configu /admin/* [DONE] drobne upravy validity, uprava reklamneho menu /db/phprs_sql_to_mysqli.php [DONE] zmena návratových kódov funkcií SQL: 0/*1 vs true/false /* [DONE] zmena kontroly vysledkov SQL: 0/*1 vs true/false [DONE] zmena ereg/eregi na preg_match [DONE] ošetrenie formulárov na nepermanentné XSS [DONE] povolenie prihlasenia len cez POST /plugin/showlogin/showlogin.php /plugin/loginkomplet/loginkomplet.php /readers.php [DONE] zakaz HTML z užívateľskom menu, povolenie BBcode ako v komentároch zmeny v db: ALTER TABLE `rs_user` CHANGE `user` `user` VARCHAR( 20 ) NOT NULL; ALTER TABLE `rs_user` CHANGE `password` `password` VARCHAR( 128 ) NOT NULL; ALTER TABLE `rs_guard` CHANGE `password` `password` VARCHAR( 128 ) NOT NULL; ALTER TABLE `rs_ctenari` CHANGE `password` `password` VARCHAR( 128 ) NOT NULL; ALTER TABLE `rs_kontrola_ip` CHANGE `ip_adresa` `ip_adresa` VARCHAR( 39 ); ALTER TABLE `rs_stat_ip` CHANGE `ip` `ip` VARCHAR( 39 ); -- nastevenie default hesla k uctu admin (id=1) UPDATE `rs_user` SET `password` = '5ec57b85d410f344515cba9fca438d6553a91ca4' WHERE `idu` =1;
282 BETA COMMUNITY VERSION - BASIC INFO ========================================================= (Poslední aktualizace: 22. 11. 2012) V tomto textovém souboru naleznete potřebné informace k phpRS 282 Komunitní verze phpRS 282 se od phpRS 281 liší především v těchto bodech: 1. Obsahuje implementované opravy všech dosud známých bezpečnostních chyb. 2. Obsahuje nový instalační skript, který maximálně usnadní upgrade z 281 nebo novou instalaci pro laiky. 3. Obsahuje několik vylepšení v administraci zejména směřující ke snažší správě webu. 4. Několik dalších drobných změn a oprav. Instalační skript je v rootu webu a ma název instalace_phprs.php. Ke své funkci vyžaduje několik dalších souborů, které jsou přiloženy a vytváří si další log soubory. Měl by být bezepčný za předpokladu že jej necháte proběhnout jen jednou. Základní problém spočívá v novém způsobu kodování hesel v databázi. Pokud jej provedete jen jednou, tak se hesla v administraci nezmění a vše bude fungovat jako doposud. Opakované spuštění a proběhnutí tohoto skriptu má ale za následek také vícenásobné zakodování těchto hesel a je potom je nutné je upravit manuelně například přes phpMyAdmin. Skript je schopen přímo editovat Váš konfigurační soubor a tím také změnit Vaše nastavení. Lze s jeho pomocí rovněž přečíst všechny hodnoty v původním config.php phpRS a z toho důvodu je potřeba jej po instalaci pečlivě odstranit - smazat. Skript obsahuje pojistku v tom smyslu že přestane fungovat hodinu po jeho nahrání na server - ale ve vlastním zájmu na toto nespoléhejte a po instalaci jej skutečně ručně vymažte. Pokud by mezi nahráním souborů na server a počátkem instalace uběhla uvedená doba, soubor nebude funkční. Pomůže jeho znovu-nahrání přes FTP. Instalační skript rovněž vytváří dočasné log soubory a zálohy předchozího souboru config.php. Na ostrém webu jsou určeny k následnému odstranění ale pro účely testování to není nezbytné.
$promenne['anketa_cil_str']=array('typ' => 2, 'cislo' => 0, 'hodnota' => 'index', 'moznosti' => array('index', 'vysledek', 'ref', 'url'), 'popis' => 'Cíl ankety: index - hlavní stránka, vysledek - výsledková stránka ankety, ref - stránka ze které bylo hlasování odesláno (využití zejména při hlasování z bloku), url - vlastní URL');
<?php header("HTTP/1.1 403 Forbidden"); die('Nutna konfigurace systemu'); ?>
<a href=\"search.php?kalendarmes=".$mesic."&kalendarrok=".$rok."&rsod=".$rok."-".$mesic."-".$pom."%2000:00:00&rsdo=".$rok."-".$mesic."-".$pom."%2023:59:59&rstext=all-phpRS-all\">".$pom."</a>
<div style="......"> a jim podobnéa nahradit je class či id. Tyto pak přidat do css souboru.