Ви не увійшли. Будь ласка, увійдіть або зареєструйтесь.
Ласкаво просимо вас на україномовний форум з програмування, веб-дизайну, SEO та всього пов'язаного з інтернетом та комп'ютерами.
Будемо вдячні, якщо ви поділитись посиланням на Replace.org.ua на інших ресурсах.
Для того щоб створювати теми та надсилати повідомлення вам потрібно Зареєструватись.
Український форум програмістів → Оцінка сайтів → Сайт публікації картинок. Оцініть зручність.
Для відправлення відповіді ви повинні увійти або зареєструватися
VTrim написав:Уже бачив:)
Скидайте код завантажувача,допоможу закрити вразливість.
Ще можна видалити всі зображення.
nobuna написав:VTrim написав:Уже бачив:)
Скидайте код завантажувача,допоможу закрити вразливість.
Там коду як такого немає. Стандартний завантажувач. Фільтри ще не ставив.
$tmp_name= $_FILES['published_picture']['tmp_name'];
$file_name= $_FILES['published_picture']['name'];
$ext= strrpos($file_name, '.')? '.'.substr($file_name, strrpos($file_name, '.')+1): '';
move_uploaded_file($tmp_name, "img/$iid"."$ext");
header("Location: http://public.zz.mu/?iid=$iid"); Ще можна видалити всі зображення.
Ну, якщо індекс можна поміняти, то картинки тим більше:) Мене більше цікавить оцінка зручності роботи механізму сайту для кінцевого користувача
VTrim написав:nobuna написав:Уже бачив:)
Скидайте код завантажувача,допоможу закрити вразливість.
Там коду як такого немає. Стандартний завантажувач. Фільтри ще не ставив.
$tmp_name= $_FILES['published_picture']['tmp_name']; $file_name= $_FILES['published_picture']['name']; $ext= strrpos($file_name, '.')? '.'.substr($file_name, strrpos($file_name, '.')+1): ''; move_uploaded_file($tmp_name, "img/$iid"."$ext"); header("Location: http://public.zz.mu/?iid=$iid");
Ну то ставте,якщо знаєте як.
Плюс директорія http://public.zz.mu/img/ відкрита.
Дозволить зпарсити ідентифікатори картинок,а потім видалити їх через підстановку в
http://public.zz.mu/del.php?iid=ID_карт … директорії
То картинки тут можна видаляти і без доступу до серверу (на відміну від index.php)
безкоштовний хостінгер
Ну, за хостінгер я мазу тягнути не буду, але з таким обмеженням за років 2 (чи щось бля того) жодного разу не зустрівся. Ну і ,,безкоштовний" він дуже умовно, зрозуміло. Хто ж тобі задурно дасть ніштяків?:)
Дозволить зпарсити ідентифікатори картинок,а потім видалити їх через підстановку в
http://public.zz.mu/del.php?iid=ID_карт … директорії
Закрив уже. Але там парсити нема що - і так всі картинки за номерами. Великої біди в можливості видалити не бачу - хіба що хтось назло захоче:) А так можна заблокувати можливість видаляти без авторизації, то не проблема.
І дякую за приділену увагу. Сам би я, мабуть, не звернув уваги ці дірки.
Djalin написав:безкоштовний хостінгер
Ну, за хостінгер я мазу тягнути не буду, але з таким обмеженням за років 2 (чи щось бля того) жодного разу не зустрівся. Ну і ,,безкоштовний" він дуже умовно, зрозуміло. Хто ж тобі задурно дасть ніштяків?:)
інколи буває таке
Та там і не таке буває. Найгірше - це коли тупить якась функція, адміністрація пише відписки, а проблема виявляється в тому, що акаунт криво став. Разок було, що Крон ніяк не хотів пахати: я з тиждень перегавкувався в тікетах, потім просто переніс все на інший їхній акаунт - і все запрацювало як годинник. З почтою така фігня теж була... Та багато різного.
Одне там добре - можна потестувати пробні проекти.
Тут уже кожен робить вибір сам, що йому використовувати.
Для відправлення відповіді ви повинні увійти або зареєструватися