NPDS : Gestion de contenu et de communauté

bjr, Pascalex Web services pour moi

Version 6.10 de NPDS hébergée chez Infomaniak, pollution dans les forums (publication anonyme interdite) comme les copains, un user fantôme parvient à poster quand même...

je pose la question car en plus d'une eventuelle "faille" qu'il pourrait y avoir sur le portail, je me demande si il n'y a pas un problème de sécurité (script non bloqué) chez les hébergeurs concernés.

je dis cela car je teste parfois (sur mon site) des programmes de hacks et de scan
.
J'observe que de nombreux scripts ne sont pas autorisés chez mon hébergeur (infomaniak) ce qui permet une plus grande sécurité.

Pour moi c'est PHPNET

même en ayant appliqué les modifs suggérées par dev?

De quelles modifs parles tu ? Car dans ce post je ne vois pas de préconisations spéciales ...
J'ai peut être loupé le bon ?

la (en fait les) fonctions en cause sont je pense dans le fichier functions.php :

- function get_userdata_from_id($userid)
- function get_userdata($username)

En fait il faut simplement remplacer les 4 lignes

$userdata = array("error" => "1");

par

forumerror('0016');

Merci par avance de vos tests / Dev en anonyme

Voilà ce que j'ai dans ces 2 fonctions, il y a un peu plus de 4 lignes ...

--------------------------------------------------------
function get_userdata_from_id($userid) {
$sql1 = "SELECT * FROM users WHERE uid='$userid'";
$sql2 = "SELECT * FROM users_status WHERE uid='$userid'";
if (!$result = mysql_query($sql1)) {
$userdata = array("error" => "1");
return ($userdata);
}
if (!$myrow = mysql_fetch_array($result)) {
$userdata = array("error" => "1");
return ($userdata);
}
$myrow=array_merge($myrow,mysql_fetch_array(mysql_query($sql2)));
return($myrow);
}

function get_userdata($username) {
$sql = "SELECT * FROM users WHERE uname = '$username'";
if (!$result = mysql_query($sql))
$userdata = array("error" => "1");
if (!$myrow = mysql_fetch_array($result))
$userdata = array("error" => "1");
return($myrow);
}
--------------------------------------------------------
Peux tu être plus précis Arenan, où exactement intégrer les modifs ?
Merci

En fait il faut simplement remplacer les 4 lignes

$userdata = array("error" => "1");

par

forumerror('0016');

Tu fais recherche et remplace dans le script, 4 lignes identiques à remplacer...par...

Pigé, je fais les modifs et je vous fais un retour dès que possible !
Merci

C'est validé par la Dev Team ?

(excusé mon inquiétude....)

ca va...

oups... avait pas vu le message de Dev déposé en anonyme...
désolé si j'ai froissé qqn...

mais non / par contre l'efficacité des modifs m'interresse ;-)

je pense que cela doit intéresser beaucoup de monde 8-)

Oui çà pourrais donner lieu à la publication d'un Patch sécu si c'est efficace
:-)

Pour le moment, RAS, la modif semble efficace...
Je ne manquerai pas de signaler si injection
@+

idem

Pareil, pas de souci pour le moment :=!

EDIT 1 : parlé trop vite, un spam déposé sur mon sit, avec les caractéristiques suivantes :
Adresses IP et informations sur les comptes Utilisateurs
Identifiant : Anonyme
Adresse IP de l'Utilisateur : 81.131.9.232
Adresse DNS de l'Utilisateur : dial81-131-9-232.in-addr.btopenworld.com

EDIT 2 : le logs de mon serveur concernant ce spam
81.131.9.232 - - [03/Oct/2007:13:59:40 +0200] "POST /reply.php HTTP/1.0" 200 37888 "http://xgonin.ch/reply.php?topic=18&forum=23&post=42&citation=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Message édité par : xgonin / 04-10-2007 12:25

c'est pas la même technique dans ce cas