phpRS 2.8.x : phpRS Fórum
Toto fórum je určené výhradně k diskuzi o verzích phpRS v2.8.x.
phpRS - redakční a informační systém
Jít na stránku:  Předchozí1234567891011...PosledníDalší
Aktuální stránka:6 z 12
Re: 2.8.2
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2012-06-01, 10:30

Patriku na to ale pozor, v tmp (kde je soubor před přesunutím pomocí move_uploaded_file) nemusí být dostatečná práva na zjištění rozměrů - tuším že se to zde už kdysi řešilo, že dřív se obrázek nejdřív zpracovával a pak přesouval, ale díky zabezpečení na některých webhostinzích se to muselo předělat

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-06-01, 10:38

MirekS napísal/a:
-------------------------------------------------------
> Patriku na to ale pozor, v tmp (kde je soubor před
> přesunutím pomocí move_uploaded_file) nemusí být
> dostatečná práva na zjištění rozměrů - tuším že se
> to zde už kdysi řešilo, že dřív se obrázek nejdřív
> zpracovával a pak přesouval, ale díky zabezpečení
> na některých webhostinzích se to muselo předělat

Aha, rozumiem. Takže existuje niečo ako whitelist funkcií, ktoré je možné aplikovať na tmp file? get_image_size by fugovať mohola, nakoľko do súboru nezasahuje, len ho číta. Kde sa dá nájsť zoznam týchto funkcí? Dalo by sa to samozrejme spraviť aj inak - pri chybe súbor vymazať. Stretol som sa s tým, že niekto prelomil admin cez a uploadoval súbory s názvom img.php%00.jpg - tento súbor obsahoval php kód, ktorý sa útočník pokúšal priamo spustiť. Samozrejme napriamo to nešlo, ale chcel som sa vyhnúť tomu, aby phpRS benevolentne púšťal cez galériu takéto zverstvá a chybné súbory by tam nechával. Druhá vec je, že cez download to spraví tiež a nejde tomu rozumne zabrániť. Ostáva len mať dobre nastavený Apache, aby php parser bežal len na vybraných príponách súborov. Inak to je bezpečnostná diera. Napadá ťa ako tomu zabrániť?




Celkem upraveno 1×. Poslední úprava pa3k v 01.06.2012 10:40.

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-06-01, 11:05

Trochu som to študoval, a tento postup mi príde OK. Je to odporúčaný postup pri uploade obrázkov. Problém s právami spôsobovalo pravdepodobne niečo iné - napríklad pokus aplikovať resampling už na $_FILE a až následný presum cez move_uploaded_file. Nie?

Re: 2.8.2
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2012-06-01, 11:16


Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-06-01, 11:50

Tak to je riadna haluz, nechápem toto nastavenie.
Čo tak to len mazať?
if (is_uploaded_file($_FILES['prsoubor']['tmp_name'])):
  if (move_uploaded_file($_FILES['prsoubor']['tmp_name'],$sb_info_novy_jmeno)):
    echo "<p align=\"center\" class=\"txt\">".RS_IGA_PO_OK_UPLOAD_OBR."</p>\n"; // vse OK
    chmod ($sb_info_novy_jmeno,0744); // nastaveni pristupovych prav
    // nacteni dodatecnych informaci o uploadovanem obrazku
    // cislene typy obr.: 1 = GIF, 2 = JPG, 3 = PNG, 4 = SWF, 5 = PSD, 6 = BMP, 7 = TIFF(intel byte order), 8 = TIFF(motorola byte order), 9 = JPC, 10 = JP2, 11 = JPX, 12 = JB2, 13 = SWC, 14 = IFF.
    list($sb_info_novy_sirka,$sb_info_novy_vyska,$sb_info_novy_typ,$sb_info_novy_img_atr)=getimagesize($sb_info_novy_jmeno);
    $sb_info_novy_velikost=$_FILES['prsoubor']['size'];
    // test na platnost a existenci dodatecnych informaci
    if (empty($sb_info_novy_sirka)||empty($sb_info_novy_vyska)):
      // nemohu najit potrebne informace o souboru
      echo "<p align=\"center\" class=\"txt\">".RS_IGA_PO_ERR_SECURE_ERR_NEJSOU_DATA."</p>\n";
      unlink($sb_info_novy_jmeno);
      exit();
    endif;
  else:
    // chyba pri ukladani souboru
    echo "<p align=\"center\" class=\"txt\">".RS_IGA_PO_ERR_CHYBA_PRI_ULOZENI."</p>\n";
    exit();
  endif;
else:
  // soubor nebyl uploadovan bezpecnou cestou
  echo "<p align=\"center\" class=\"txt\">".RS_IGA_PO_ERR_SECURE_ERR_BEZPECNOST."</p>\n";
  exit();
endif;

Re: 2.8.2
Zaslán uživatelem/kou: pertinax (IP adresa zaznamenána)
Datum: 2012-06-01, 14:03

pa3k,

ak tomu správne rozumiem, tak treba do súboru aimggal.php doplniť ten červený riadok?

[http://www.zeleznicne.info]

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-06-01, 14:08

Áno, ten riadok zmaže súbor ak sa ho nepodarí korektne spracovať ako obrázok. Na všetkých hostingoch by malo fungovať aj riešenie s úpravou pomocou testu. No ako vidieť nájdu sa hostingy, kde to nepôjde. Bude to skôr ale výnimka. Kľudne si stiahni aktuálnu RC3 (menil sa len súbor admin/aimg_gal.php) a skús na svojom hostingu upload do galérie.

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-06-01, 14:11

Ten červený riadok je zatiaľ len návrh, ktorý by mal riešiť špecifickú chybu pri nastavení hostingu. Ak ti funguje upload na RC3, nemusíš nič riešiť.

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-06-07, 11:23

Pre istotu som to zmenil na zmazanie presunutého súboru pri chybe. Upravil som SET CHARACTER SET na SET NAMES. RC4 - toto by uz nmohla byt posledna zmena.

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-06-26, 00:23

Snáď už posledná aktualizácia. Dôležitá oprava v súbore ankety.php a drobnosť v download.php



Celkem upraveno 1×. Poslední úprava pa3k v 26.06.2012 00:53.

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-06-26, 17:39


Re: 2.8.2
Zaslán uživatelem/kou: Josef (IP adresa zaznamenána)
Datum: 2012-07-30, 19:31

Ahoj.

Neví zda jde o chybu ale zkusím se zeptat.
Pokud vytvořím krátký článek tak se na hlavní straně zobrazí se šablonou krátkého článku. To je OK.
Pokud však na něj odkážu odkazem například: [http://localhost/view.php?cisloclanku=2012070006] tak se zobrazí se šablonou dlouhého článku. A to mě přijde že je špatně.

Můžete to někdo potvrdit nebo dělám něco špatně.

Dík Josef



[http://joesoft.info]

Re: 2.8.2
Zaslán uživatelem/kou: Lonanek (IP adresa zaznamenána)
Datum: 2012-07-30, 20:10

view.php:
Standardně přiřazuje pouze volbu šablony zakazany nebo cely.

Další volby - kratky a nahled slouží pro zobrazení náhledů článků (krátkého a dlouhého) na hlavní straně.
Tedy při kliknutí na článek (view.php) se zobrazí vždy jako dlouhý článek podle dané šablony (std, press, strict)



* Klub kuželkářů Zálabák, Hankova 62, 503 03 Smiřice (Endora) * X X * Stránky ČZS ZO Třešňovka2 * X X * Cvičný phpRS web (WZ) * X X * Testovací phpRS web (WZ) *
* cvičná verze phpRS v 2.8.2 * X X * testovací web CMS *

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-07-30, 20:12

Josef napísal/a:
-------------------------------------------------------

> Pokud vytvořím krátký článek tak se na hlavní
> straně zobrazí se šablonou krátkého článku. To je
> OK.
> Pokud však na něj odkážu odkazem například: tak
> se zobrazí se šablonou dlouhého článku. A to mě
> přijde že je špatně.
>
> Můžete to někdo potvrdit nebo dělám něco špatně.
>
> Dík Josef

To správanie má na svedomí kód v view.php:
// urceni pozadovane varianty clankove sablony
    if ($GLOBALS["clanek"]->Ukaz("zakazova_sab")==1): // test na aplikaci zakazove varianty
      $rs_typ_clanku='zakazany';
    else:
      $rs_typ_clanku='cely';
    endif;




Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-07-30, 20:17

Oprava by teda vyzerala takto:
// urceni pozadovane varianty clankove sablony
	/*
    if ($GLOBALS["clanek"]->Ukaz("zakazova_sab")==1): // test na aplikaci zakazove varianty
      $rs_typ_clanku='zakazany';
    else:
      $rs_typ_clanku='cely';
    endif;
	*/
    if ($GLOBALS["clanek"]->Ukaz("zakazova_sab")==1): // test na aplikaci zakazove varianty
      $rs_typ_clanku='zakazany';
    else:
      if ($GLOBALS["clanek"]->Ukaz("typ_clanku")==2): // 1 - standardni, 2 - kratky
        $rs_typ_clanku='kratky';
      else:
        $rs_typ_clanku='nahled';
      endif;
    endif;


[https://www.kvalitne.sk/koncepty/282/]
[https://www.kvalitne.sk/koncepty/282/view.php?cisloclanku=2012030023]



Celkem upraveno 1×. Poslední úprava pa3k v 30.07.2012 20:17.

Re: 2.8.2
Zaslán uživatelem/kou: Lonanek (IP adresa zaznamenána)
Datum: 2012-07-30, 20:21

IMHO to ale není to pravé ořechové.

článkové šablony mají varianty:
kratky - náhled krátkého článku
nahled - náhled dlouhého článku
cely - zobrazení dlouhého článku
zakazany - zákazový článek (pouze zobrazení textu nemáte oprávnění)

Musela by se doplnit další šablona pro zobrazení krátkého článku, pak by to asi odpovídalo skutečnosti...


* Klub kuželkářů Zálabák, Hankova 62, 503 03 Smiřice (Endora) * X X * Stránky ČZS ZO Třešňovka2 * X X * Cvičný phpRS web (WZ) * X X * Testovací phpRS web (WZ) *
* cvičná verze phpRS v 2.8.2 * X X * testovací web CMS *

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-07-30, 20:21

Toto rozdeľovanie na krátky a dlhý je IMHO riadna haluz. Logické chovanie by malo byť: ak má neprázdny hlavný text, je článok dlhý. Ak nemá, je krátky. :-)

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-07-30, 20:26

Josef, ak by si to nechcel opravovať, tak jednoducho vymaž obsah hlavného textu v krátkom článku. Čo má čo hľadať hlavný text v krátkom článku? :-)

Re: 2.8.2
Zaslán uživatelem/kou: Lonanek (IP adresa zaznamenána)
Datum: 2012-07-30, 20:26

to už je opravdu systémovější řešení...

lze ošetřit samostatně v šablonách
if ($GLOBALS["clanek"]->Ukaz("text")):
... text existuje - dlouhý článek
else:
... text neexistuje - krátký článek
endif;

Chování vložit do článkové šablony do části case "cely":

Tedy:
<div class="cla-text">
        <?php echo $GLOBALS["clanek"]->Ukaz("uvod"); ?>
          if ($GLOBALS["clanek"]->Ukaz("text")):
            <br /><br />
            <?php echo $GLOBALS["clanek"]->Ukaz("text"); ?>
          endif;
    </div><br />



* Klub kuželkářů Zálabák, Hankova 62, 503 03 Smiřice (Endora) * X X * Stránky ČZS ZO Třešňovka2 * X X * Cvičný phpRS web (WZ) * X X * Testovací phpRS web (WZ) *
* cvičná verze phpRS v 2.8.2 * X X * testovací web CMS *




Celkem upraveno 3×. Poslední úprava Lonanek v 30.07.2012 20:30.

Re: 2.8.2
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-07-30, 20:44

Do článkovej šablóny? No mne by sa nechcelo prepisovať všetky článkové šablóny všetkých layoutov.

Jít na stránku:  Předchozí1234567891011...PosledníDalší
Aktuální stránka:6 z 12


Lituji, ale pouze registrovaní uživatelé mohou zasílat příspěvky do této sekce.
This forum powered by Phorum and designed by STaNBoSS.