Как защитить upload.php?

Gopr 29.04.2013 Все вопросы » Общие вопросы по PHP 4564

вопрос

Столкнулся с проблемой в upload.php
Если неавторизованным пользователем пройти по адресу: сайт.ру/engine/ajax/upload.php, то выводится ошибка {"error":"Вы не авторизированы на сайте"}.
Если же пользователь авторизован, то открывается загрузчик в рабочем состоянии, со всеми указанными настройками к нему в админ панели. Является ли дырой?

Такая проблема не только у меня, к 10 сайтам на dle я подставил /engine/ajax/upload.php и 3 из них выдают ошибку {"error":"Вы не авторизированы на сайте"}. Остальные 7 выдают ошибку There was a problem with the upload, при чем не важно авторизован пользователь или нет.
dle-faq.ru входит в счасливую семерку. Подскажите как из {"error":"Вы не авторизированы на сайте"} сделать There was a problem with the upload
Версия 9.7, исходный код upload.php не стал скидывать так как задаю этот вопрос вторай раз. В первый раз из-за исходного кода вопрос глюкнул :/

Ответа пока нет

7 комментариев

Эксперт

1925

nowheremany - 2015-01-1829 апреля 2013 13:51 - #13165

Так и не понятно что вы сделали, и в чем вопрос, и почему, а главное что, не работает?

Благодарность принимаю тут Связь

Юзер

494

Gopr - 2015-01-1829 апреля 2013 15:01 - #13166

Как не понятно О_о?
nowheremany попробуйте подставить к адресу своего блога который указан у вас в подписи /engine/ajax/upload.php вам выдаст ошибку There was a problem with the upload, а на моем сайте проделав тоже самое выдает {"error":"Вы не авторизированы на сайте"}
Вот я и интересуюсь является ли данная ошибка {"error":"Вы не авторизированы на сайте"} дырой?

Эксперт

1925

nowheremany - 2015-01-1829 апреля 2013 15:32 - #13167

И чем же она дырявая то?
Сначала проверяется авторизация пользователя, потом обязательные параметры.

Согласен что должны быть наоборот, но по сути ничего это не меняет

Благодарность принимаю тут Связь

Юзер

494

Gopr - 2015-01-1829 апреля 2013 15:42 - #13168

Тоесть это нормально, так и должно быть?
Просто если бы на всех сайтах где я подставлял /engine/ajax/upload.php выдавало бы {"error":"Вы не авторизированы на сайте"}, то вопросов я бы не задавал, а так у некоторых пишет There was a problem with the upload это меня и напрягло:)

Админ

3457

ПафНутиЙ - 2015-01-1829 апреля 2013 16:25 - #13170

Если бы там была дыра - ею уже давно бы пользовались в всю )
Точнее она там 100% была когда то, это же DLE, но сейчас там её нет, не переживайте.

Каков вопрос - таков и ответ. Просто помните об этом.

Гости

128

maxvel0007 - 2015-01-181 мая 2013 11:01 - #13199

Хм... а как можно закрыть доступ к данной утилите ?? Что бы вообще нельзя было загружать картинки ?? Удалив содержимое: http://kino.facebik.ru/engine/ajax/upload.php (я не наврежу остольным скриптам, с учётом того что на сайт фото не загружаю и данный скрпт для меня на сайте не актуален, боюсь заполнения всего хостинга)

Юзер

iwanowi4 - 2015-01-181 мая 2013 11:46 - #13200

Цитата: maxvel0007

Хм...

Бред какой то... Документацию читать пробовали?
Разрешить пользователям загружать картинки
Вы можете разрешить или запретить пользователям загружать изображения на сервер при добавлении новости с сайта - Нет

TeraMoune | Как отключить миниатюры стандартной гале ...
TeraMoune
Как отключить миниатюры стандартной галереи Fancybox?
Вчера, 06:00
В файле engine/classes/fancybox/fancybox.js искать нужную инициализацию и добавлять соответствующие параметры, весь список параметров и их описание можно найти на этой странице https://fancyapps.com/fancybox/api/options/

Например: параметр Thumbs: false отключает миниатюры.
```
Fancybox.bind("[data-highslide]", {
	groupAttr: 'data-highslide',
	idle:2000,
	Thumbs: false,
	caption: (fancybox, slide) => {
		if(  slide.thumbEl && slide.thumbEl.alt ) {
			return slide.thumbEl.alt
		}
	}
});
```
derebas | Как реализовать шифрование трафика? ³

derebas
Как реализовать шифрование трафика?
18-11-2024, 16:52

Ну в теории, можно использовать src на site.com разместить прокси на site2.com а выдавать видео с site3.com, при этом прямой доступ на site3.com закрыть, отдача будет только если запрос с site2.com, таким образом палится только site2.com, НО источник потокового видео, все равно можно увидеть если захотеть, а ссылки, ну купить домен dsac-43efew-csdds.uz как пример
Gordi | Перенёс сайт - не работают кнопки, не от ... ⁸

Gordi
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:46

я уже делал. Пользователь 1000 (это я так понимаю root) и chmod 777
Так и было...
lutskboy | Перенёс сайт - не работают кнопки, не от ... ⁸

lutskboy
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:39

чтоб не удалять выстави права и пользователя какие там идут на файлы. .
Gordi | Перенёс сайт - не работают кнопки, не от ... ⁸

Gordi
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:37

т.е. мне снести всё, что я уже загрузил как root, зайти под юзером и закачать снова?
Видосы в директории upload можно хоть оставить? их там 80 Гб
lutskboy | Перенёс сайт - не работают кнопки, не от ... ⁸

lutskboy
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:17

фтп обычный юзер а не root
Gordi | Перенёс сайт - не работают кнопки, не от ... ⁸

Gordi
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:15

дэк только так и загружаю
Gordi | Как реализовать шифрование трафика? ³

Gordi
Как реализовать шифрование трафика?
18-11-2024, 14:14

я тоже не понимаю....товарищ один, представитель хостинга сказал, что даже есть модули такие специальные под популярные цмс
lutskboy | Перенёс сайт - не работают кнопки, не от ... ⁸

lutskboy
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:13

Gordi,
через фтп загружай
Gordi | Перенёс сайт - не работают кнопки, не от ... ⁸

Gordi
Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
18-11-2024, 14:11

Привет Николай!
Всегда загружал от root... посмотришь может? твой плагин тоже не виден ((
или направь на путь истинный, пжст