Osetin
12.11.2013, 17:45
1. Открываем файл engine/inc/files.php и находим:
$serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );
заменяем на:
if ($member_id['user_group'] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) ); else $serverfile = »;
if ( $serverfile != » ) {
$serverfile = str_replace( «\\», «/», $serverfile );
$serverfile = str_replace( «..», «», $serverfile );
$serverfile = str_replace( «/», «», $serverfile );
$serverfile_arr = explode( «.», $serverfile );
$type = totranslit( end( $serverfile_arr ) );
$curr_key = key( $serverfile_arr );
unset( $serverfile_arr[$curr_key] );
if ( in_array( strtolower( $type ), $allowed_files ) )
$serverfile = totranslit( implode( «.», $serverfile_arr ) ) . «.» . $type;
else $serverfile = »;
}
if( $serverfile == «.htaccess») die(«Hacking attempt!»);
2. Открываем файл engine/classes/thumb.class.php и находим:
$this->img['des'] = imagecreatetruecolor( $this->img['lebar_thumb'], $this->img['tinggi_thumb'] );
добавляем выше этой строки:
if ($this->img['lebar_thumb'] < 1 ) $this->img['lebar_thumb'] = 1;
if ($this->img['tinggi_thumb'] < 1 ) $this->img['tinggi_thumb'] = 1;
Если у вас не стоит этих заплаток, злоумышленник может скачать ваш dbconfig за 10 минут! Взломать сайт на DLE стало на много проще так как многие уже распространили материал по взлому, поэтому поторопитесь поставить защиту!
Автор неизвестен.
$serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );
заменяем на:
if ($member_id['user_group'] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) ); else $serverfile = »;
if ( $serverfile != » ) {
$serverfile = str_replace( «\\», «/», $serverfile );
$serverfile = str_replace( «..», «», $serverfile );
$serverfile = str_replace( «/», «», $serverfile );
$serverfile_arr = explode( «.», $serverfile );
$type = totranslit( end( $serverfile_arr ) );
$curr_key = key( $serverfile_arr );
unset( $serverfile_arr[$curr_key] );
if ( in_array( strtolower( $type ), $allowed_files ) )
$serverfile = totranslit( implode( «.», $serverfile_arr ) ) . «.» . $type;
else $serverfile = »;
}
if( $serverfile == «.htaccess») die(«Hacking attempt!»);
2. Открываем файл engine/classes/thumb.class.php и находим:
$this->img['des'] = imagecreatetruecolor( $this->img['lebar_thumb'], $this->img['tinggi_thumb'] );
добавляем выше этой строки:
if ($this->img['lebar_thumb'] < 1 ) $this->img['lebar_thumb'] = 1;
if ($this->img['tinggi_thumb'] < 1 ) $this->img['tinggi_thumb'] = 1;
Если у вас не стоит этих заплаток, злоумышленник может скачать ваш dbconfig за 10 минут! Взломать сайт на DLE стало на много проще так как многие уже распространили материал по взлому, поэтому поторопитесь поставить защиту!
Автор неизвестен.