|
|
| PHP-Nuke France - Communauté Européenne: Forums |
|
|
ATTENTION
En téléchargeant une version de PHP-Nuke autre que celle que nous proposons, vous prenez la décision de ne pouvoir prétendre à aucun support sur nos Forums.
Vous êtes libre de faire vos propres choix mais nous ne pouvons accepter de faire le travail des autres.
Par conséquent et en connaissance de cause, toute question relative à une autre version que celle que nous nous sommes engagé à supporter sera transférée à la corbeille. Prenez 2 minutes pour prendre connaissance plus en détails de notre fonctionnement
| Voir le sujet précédent :: Voir le sujet suivant |
|
|
|
FB
Administrateur
Inscrit le: Dec 27, 2003
Messages: 3376
Localisation: Gradignan (33)
|
 Posté le: 01.02.2005, 23:37:05 Sujet du message: |
 |
|
Bon, on va pouvoir se coucher rassuré ! (oufff)
Dans inSCRIPTion... il y a SCRIPT et toute balise contenant la chaîne de caractère SCRIPT est interdite par cette ligne du mainfile : | Code: | if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) ||
|
Alors là, c'est vraiment pas de bol !!!
et voilà....
_________________
FB33
Respectez la charte - Merci ! |
|
 |
|
|
jessclub
Modérateur
Inscrit le: Jan 21, 2004
Messages: 1062
Localisation: Alsace (68)
|
| Posté le: 01.02.2005, 23:43:19 Sujet du message: |
|
|
Effectivement c'est inimaginable un truc pareil 
J'ai toujours la chance de tomber sur de aneries de ce genre 
Amusant d'ailleurs que ce ne soit pas le cas sur la 7.2
Certainement une protection en plus ...
Par curiosité j'ai fais le test sur une install propre en local de la 7.5 et naturellement le prob est identique.
Encore merci et a+
Gérald |
|
|
|
|
FB
Administrateur
Inscrit le: Dec 27, 2003
Messages: 3376
Localisation: Gradignan (33)
|
| Posté le: 01.02.2005, 23:49:55 Sujet du message: |
|
|
C'est lié, je crois, à la sécurité 2.8 qui date de décembre dernier.
... Mais c'est vrai que c'est le genre de truc qui peut endre fou !
Le hack de JC doit te tirer d'affaire en admin.
_________________
FB33
Respectez la charte - Merci ! |
|
|
|
|
jessclub
Modérateur
Inscrit le: Jan 21, 2004
Messages: 1062
Localisation: Alsace (68)
|
| Posté le: 02.02.2005, 00:05:43 Sujet du message: |
|
|
Effectivement, le Hack de JC ve regler le prob en Admin. Je vais ajouter script car JC ne l'avait pas cité d'origine dans les lignes qu'il a proposé.
A+
Gérald
---------------------------------
EN CONCLUSION :
Testé sous PHPNUKE 7.5 FR
Petite synthèse pour conclure sur l'affaire.
L'utilisation de certaines balises HTML est interdite sous PHPNUKE 7.5 , des balises qui étaient autorisées sous des versions plus anciennes comme la version 7.2 par exemple.
Pour remédier à ce soucis il est par exemple possible d'autoriser l'utilisation de ces balises aux admin seulement.
Pour faire cette modification je vais reprendre et compléter le post de JC.
Editer le fichier mainfile.php qui se trouve à la racine de votre site.
Repérer vers le début du fichier la fonction foreach ($_GET as $secvalue) et commentez ainsi ces lignes :
| Code: | //--> NOUVELLE FONCTION POUR PERMETTRE LES TAGS HTML AUX ADMINS SEULEMENT - PART 1/2
//foreach ($_GET as $secvalue) {
// if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) ||
// (eregi("<[^>]*object*\"?[^>]*>", $secvalue)) ||
// (eregi("<[^>]*iframe*\"?[^>]*>", $secvalue)) ||
// (eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) ||
// (eregi("<[^>]*meta*\"?[^>]*>", $secvalue)) ||
// (eregi("<[^>]*style*\"?[^>]*>", $secvalue)) ||
// (eregi("<[^>]*form*\"?[^>]*>", $secvalue)) ||
// (eregi("<[^>]*img*\"?[^>]*>", $secvalue)) ||
// (eregi("<[^>]*onmouseover*\"?[^>]*>", $secvalue)) ||
// (eregi("\([^>]*\"?[^)]*\)", $secvalue)) ||
// (eregi("\"", $secvalue)) ||
// (eregi("forum_admin", $var_name)) ||
// (eregi("inside_mod", $var_name))) {
// die ("<center><img src=images/logo.gif><br><br><b>The html tags you attempted to use are not allowed</b><br><br>[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
// }
//}
//foreach ($_POST as $secvalue) {
// if ((eregi("<[^>]*onmouseover*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*script*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*style*\"?[^>]*>", $secvalue))) {
// die ("<center><img src=images/logo.gif><br><br><b>The html tags you attempted to use are not allowed</b><br><br>[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
// }
//}
//--> FIN DE LA FONCTION 1/2 |
Puis un peu plus bas, à la suite de la fonction is_admin et juste avant la fonction is_user, ajouter :
| Code: | //--> NOUVELLE FONCTION POUR PERMETTRE LES TAGS HTML AUX ADMINS SEULEMENT - PART 2/2
if (!is_admin($admin)) {
foreach ($_GET as $secvalue) {
if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*object*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*iframe*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*meta*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*style*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*form*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*img*\"?[^>]*>", $secvalue)) ||
(eregi("<[^>]*onmouseover*\"?[^>]*>", $secvalue)) ||
(eregi("\([^>]*\"?[^)]*\)", $secvalue)) ||
(eregi("\"", $secvalue))) {
die ("<center><img src=images/logo.gif><br><br><b>The html tags you attempted to use are not allowed</b><br><br>[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
}
}
foreach ($_POST as $secvalue) {
if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) || (eregi("<[^>]*style*\"?[^>]*>", $secvalue))) {
die ("<center><img src=images/logo.gif><br><br><b>The html tags you attempted to use are not allowed</b><br><br>[ <a href=\"javascript:history.go(-1)\"><b>Go Back</b></a> ]");
}
}
}
//--> FIN DE LA FONCTION 2/2 |
Et voilà, mission accomplie 
Merci JC et merci FB
A+
Gérald |
|
|
|
|
bibouel
Novice
Inscrit le: Non 0, 0000
Messages: 20
|
| Posté le: 08.02.2005, 21:00:51 Sujet du message: |
|
|
| C'est ce que j'ai fait mais ca ne marche pas. Serait-il possible de m'envoyer le contenu de la page mainfile.php SVP ??? merci |
|
|
|
|
|
|
|
|
|
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
Vous ne pouvez pas joindre des fichiers dans ce forum
Vous ne pouvez pas télécharger des fichiers dans ce forum
|
| :: Powered by phpBB © 2001, 2005 phpBB Group :: |
|
|
|
|
FAQ
Rechercher
Groupes d'utilisateurs
Les Rangs
Profil
Se connecter pour vérifier ses messages privés
Connexion
AVANT TOUT, consultez la charte de nos forums !
