Не нравятся результаты поиска? Попробуйте другой поиск!

DLE FAQ » Все вопросы » Общие вопросы » Анимированные картинки и уязвимости DLE

Анимированные картинки и уязвимости DLE

region029 23.01.2013 анимация, запрет, патч, dle 9.6, уязвимости Все вопросы » Общие вопросы 5034

вопрос

Патч для dle 9.7 запрещает добавлять анимированные картинки в новости, мне интересно, а если движок 9.6 - анимацию добавлять можно, значит уязвимость остаётся?
И вообще кто-нибудь в курсе проблема с анимацией будет решена? Webdiscover.ru сделан на dle и работает без проблем, гифки можно добавлять

Ответа пока нет

12 комментариев

Юзер

region029 - 2015-02-0524 января 2013 08:23 - #11036

У меня получилось анимированный аватар залить на этот сайт. Пафнутий не поставил патч или нашёл какое-то другое решение?

Админ

3457

ПафНутиЙ - 2015-02-0524 января 2013 10:05 - #11044

Если мне кто-то скажет как происходит взлом сайта через анимированный аватар - буду вносить необходимые правки.

Каков вопрос - таков и ответ. Просто помните об этом.

Эксперт

1925

nowheremany - 2015-02-0524 января 2013 11:12 - #11045

все это бред.
просто у gif картинки изменять размер накладно для сервера, вот и придумал объяснение.

Благодарность принимаю тут Связь

Юзер

Бахмут - 2015-02-0524 января 2013 14:17 - #11055

За длешку не знаю, а вот мой форум IPB Board ломали подобным образом. Был залит аватар с названием 128.gif. Сама картинка не воспроизводилась, потому как правильное ее название должно быть - 128.php, а гифку использовали только для того, что б залить на сервер код php, просто переименованный. Этим аватаром (вернее php-кодом) каким-то образом по серверу раскидались всякие "нехорошие" скрипты и тд. В общем, вышло исправление форума, заменил пару файликов и устранил уязвимость. Аватары-анимашки остались и нормально работают, исправление не дает теперь залить вместо аватара подобную хрень. Видимо, что-то действительно есть, только на офсайте дле не захотели париться с этой проблемой и решать ее, как сделали на IPB Board, а просто удалили функцию загрузки анимированных гифок.
Как мне кажется, с выходом очередной версии длешки, 9.9 или 10 (хз какая там будет), эту функцию исправят, удалят уязвимость и вернут. Видимо сейчас, перед выходом новой версии, которая уже находится в тестировании и предрелизной подготовке, просто не захотели париться.

Юзер

Kickman - 2015-02-0524 января 2013 18:54 - #11069

На серче, по этому поводу...

Юзер

region029 - 2015-02-0524 января 2013 20:08 - #11071

Цитата: nowheremany

все это бред....вот и придумал объяснение.

Я вас не понял, что бред?

Юзер

151

shadow6630 - 2015-02-0524 января 2013 20:36 - #11073

Обсуждалось на провеббере: бот регался на сайте и используя гифку подсовывал через нее вредносный код, а дальше дело техники, в общем проверяйте есть ли у вас пользователь с ником tehapocalypse )

Юзер

hatchees - 2015-02-0524 января 2013 21:48 - #11075

Лол, а что нельзя проверить картинка ли это или нет? напримере функция getimagessize



list($width, $height) = getimagesize($image);

if (empty($width) or empty($height) {
echo "это не картинка";
unset($image);
}

Юзер

hatchees - 2015-02-0524 января 2013 21:53 - #11076

*забыл скобку заркыть

if (empty($width) or empty($height)) {

Эксперт

1925

nowheremany - 2015-02-0525 января 2013 09:33 - #11084

Я бы посоветовал выложить такую картинку с php кодом, для анализа. Толку то защищать от того чего не видишь.

PS Да и вообще с какого перепуга настроено выполнение gif файлов как php сущности? это недонастройка сайта

Благодарность принимаю тут Связь

Юзер

kricha - 2015-02-0526 марта 2014 01:27 - #25649

это неправильная настройка сервера.

Юзер

DrajE - 2015-02-0511 февраля 2013 17:15 - #11557

Пострадало у меня от это херни 2 сайта.
Вовремя не сделанный дамп добавил много гемороя.

mondolfo | Шаблон waitlogin при авторизации через с ...

mondolfo
Шаблон waitlogin при авторизации через соцсеть?
Вчера, 01:31

/engine/modules/social.php
TeraMoune | Как изменить вывод custom по нескольким ... ¹¹

TeraMoune
Как изменить вывод custom по нескольким тегам?
28-10-2024, 01:05

Я же написал, продублирую: нужно использовать [[:punct:]]

И проблема в условии проверяющее версию mysql, можно поменять местами true и false, изменить знак меньше на больше или вовсе убрать код строки с version_compare и оставить ту строку кода $tempArray[] где используется [[:punct:]].

В статье также указано, что важно использовать экранирование, собственно, что и указано в методе по исправлению ошибки.
Статья по решению проблемы

Там у человека совершенно другое условие поиска. Он не теги ищет которые строго разделены запятыми, он просто слова ищет и ему как раз подойдёт граница слова. И это когда-то давно поиск был разделяя по границе слова, теперь есть character_class и используется другой метод. Но это не отменяет того, что вы нашли вопрос и решение которое никак не связано с темой новости поиска новостей с наличием тегов.
homa152 | Как изменить вывод custom по нескольким ... ¹¹

homa152
Как изменить вывод custom по нескольким тегам?
27-10-2024, 23:33

Если вы готовы предложить какое-то решение для исправление проблемы 3685, отлично. Иначе к сожалению на последних версиях MySQL хак не рабочий, согласно вашему трактату.
homa152 | Как изменить вывод custom по нескольким ... ¹¹

homa152
Как изменить вывод custom по нескольким тегам?
27-10-2024, 23:20

Я буквально 2 часа назад столкнулся с проблемами при установке этого хака, проблема была именно в ошибке 3685, сайт не просто переставал работать, использовалась стандартная заглушка при критических ошибках MySQL исправить получилось методом описанным выше, для версия до 8 хак работает исправно, но выше, требуется доработка, так как синтаксис считается ошибочным, вы можете проверить самостоятельно.

В статье также указано, что важно использовать экранирование, собственно, что и указано в методе по исправлению ошибки.
Статья по решению проблемы
TeraMoune | Как изменить вывод custom по нескольким ... ¹¹

TeraMoune
Как изменить вывод custom по нескольким тегам?
27-10-2024, 22:32

Напротив нужно использовать [[:punct:]] вместо скобок, про это написано в документации на которую вы ссылаетесь. А \b означает границу слова и не способен правильно отображать результаты. Граница слова это когда выражение будет находить отдельные слова. Например новость имеет теги (Социальная сеть, Блокировка) и tags REGEXP '\\b(сеть)\\b' найдёт новость с тегом Социальная сеть, а так же Рыбацкая сеть и в принципе найдёт все новости где присутствует слово "Сеть" и будет много лишних результатов, а не только нужные.

В хаке как раз присутствует проверка на старую версию и новую mysql и в каждом случае используется тот вариант который является валидным для используемой версии.
homa152 | Как изменить вывод custom по нескольким ... ¹¹
homa152
Как изменить вывод custom по нескольким тегам?
27-10-2024, 21:30
Добавлю касаемо обновления архитектуры MySQL
При добавлении хака с версии MySQL 8.0, возможно появление ошибки: 3685. Неверный аргумент для регулярного выражения.

Можно пофиксить самостоятельно внеся корректировки в сам хак из панели админа.

Строку:
```
$tempArray[] = "tags REGEXP '[[:<:]](" . $value  . ")[[:>:]]'";
```
Заменить на:
```
$tempArray[] = "tags REGEXP '\\\\b(" . $value  . ")\\\\b'";
```
Согласно справочному руководству MySQL 8.0 / ... / Регулярные выражения, «MySQL поддерживает регулярные выражения с помощью международных компонентов для Unicode (ICU)».

То есть, вместо "[[:<:]] и [[:>:]]", нужно использовать: "\b"
vitnet | Есть ли возможность изменить язык сайта? ¹

vitnet
Есть ли возможность изменить язык сайта?
25-10-2024, 16:22

Ну как вариант можно использовать тег {lang text=***} подробнее

{lang text="LANG_PARAMETER"}

Данный тег предназначен для вывода информации из языкового файла website.tpl, который в данный момент используется, где LANG_PARAMETER это значение параметра, который необходимо вывести. Например, тег {lang text="attach_images"} выведет надпись “Прикрепить изображения” из языкового пакета, в случае использования русского языка и если используется английский язык, то “Attach Images”
vitnet | Есть готовый модуль рейтинга комментарие ... ¹
vitnet
Есть готовый модуль рейтинга комментариев?
25-10-2024, 13:12
Вариант 1 (вручную)

1.0 Открываете файл engine/modules/show.full.php находите в нем
```
$where_approve . " ORDER BY " . PREFIX . "_comments.id " . $comm_msort;
```
И меняете здесь id на rating
Пример:
```
$where_approve . " ORDER BY " . PREFIX . "_comments.rating " . $comm_msort;
```
2.0 Затем переходите в админку /admin.php?mod=options&action=syscon --> Настройки комментариев --> Порядок сортировки комментариев --> По убыванию

2.1 Далее --> Тип рейтинга комментариев выставляете "Нравится или Не нравится"

Готово!

Вариант 2 (плагин)
Для просмотра содержимого спойлера, перейдите к выбранному событию.

Graf | Как сделать аякс кнопку "загрузить еще"? ²

Graf
Как сделать аякс кнопку "загрузить еще"?
23-10-2024, 16:03

Вот рабочий пример со скрытие пагинатора и кнопки.
Полный код файла navigation.tpl

[not-available=userinfo]
<div class="nav-load" id="nav-load">[next-link]Загрузить еще[/next-link]</div>

<nav class="navigation"[available=lastcomments] style="padding: 4% 8%;"[/available]>
	<div class="page_next-prev">
		<span class="page_prev" title="Предыдущая страница">
			[prev-link]<svg class="icon icon-left"><use xlink:href="#icon-left"></use></svg>[/prev-link]
		</span>
		<span class="page_next" title="Следующая страница">
			[next-link]<svg class="icon icon-right"><use xlink:href="#icon-right"></use></svg>[/next-link]
		</span>
	</div>
	<ul class="pagination">
		{pages}
	</ul>
</nav>
<script type="text/javascript">
$(document).ready(function(){
    
         $('body').on('click','#nav-load a',function(){
        var urlNext = $(this).attr('href');
        var scrollNext = $(this).offset().top - 200;
        if (urlNext !== undefined) {
            $.ajax({
                url: urlNext,
                beforeSend: function() {
                    ShowLoading('');
                },            
                success: function(data) {
                    $('.navigation').remove();
                    $('#nav-load').remove();
                    $('#dle-content').append($('#dle-content', data).html());
                    $('#dle-content').after($('#bottom-nav'));
                    window.history.pushState("", "", urlNext);
                    $('html, body').animate({scrollTop:scrollNext}, 800);    
                    HideLoading('');
                },
                  error: function() {                
                    HideLoading('');
                    alert('что-то пошло не так');
                  }
            });
        };
        return false;
    });
    
});
</script>
[/not-available]

vitnet | Как перенести категории в DLE? ²

vitnet
Как перенести категории в DLE?
22-10-2024, 11:30

Для начала проверьте наличие файла /engine/cache/system/category.php и если он был до замены БД то удалите его а ещё лучше очистить кеш.

наверх

Анимированные картинки и уязвимости DLE

Ответа пока нет

12 комментариев

Похожие вопросы

Не отображаются картинки после переноса

Как загружать .gif анимацию в посты?

Увеличение размера экспортируемой картинки из новости в RSS

Не отображается Watermark

Как лучше добавить видео?

Безопасность сайта. Правильно ли?

не разрешает добавлять комментарии

Не доступен robots.txt

Добавление новости через php скрипт

Как сделать, чтобы люди могли добавлять комментарий со своей оценкой, категории?