Zdravím všechny přítomné.
Dostal jsem za úkol spravit staré webové stránky, které kdosi kdesi kdysi vytvořil (mra.webz.cz).
Já jakožto html neznalec, co nemá ponětí o tom, jakým stylem se věci mají, jsem tak různě upravoval, až stránky dostaly nějakou podobu, ale nastal mi tu jeden problém.
(Nevím, kdo stránky dělal a jak fungují)
Když najedete na stránky a jdete do sekce Akce, je tam výpis akcí, každá akce se tam přidává skrze admina, kde je pro přidávání příspěvků na to formulář.
Všimněte si prosím upoutávky a tučného písma, dřív mi šlo při vytváření akce přidat do textu i odkaz na daný soubor přímo, akorát teď, při vkládání tagů např. <a href="dokumenty/Velikonoce2011.pdf" target="_blank" title="kliknutím se otevřou informace a přihláška ve formátu PDF">Informace a přihláška ve formátu PDF</a>, kdy to předtím fungovalo, mi to vypíše chybu:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'dokumenty/Velikonoce2011.pdf" target="_blank" title="kliknutím se otevřou inform' at line 1
Warning: include(..\err.vl) [function.include]: failed to open stream: No such file or directory in /3w/webz.cz/m/mra/admin/index.php on line 113
Warning: include() [function.include]: Failed opening '..\err.vl' for inclusion (include_path='.:/usr/local/lib/php') in /3w/webz.cz/m/mra/admin/index.php on line 113
Ptám se, dokázal někdo pochopit, v čem je problém?
Já se opravdu omlouvám, lépe to popsat neumím, web jsem nikdy nedělal, to, co "umím", tak to je minimum .. Prosím, pokuste se poradit, děkuju předem
Zkus nejprve v souboru admin/index.php na řádku 113 vyměnit znak "\" za znak "/". Zpětná lomítka jako oddělovač adresářů se používají jen ve Windows.
Ale stejně se obávám, že tam těch chyb bude víc. Docela zásadní chybou je, že includovaný soubor se jmenuje "err.vl". Includovaný soubor musí mít vždy příponu ".php". Je možné, že někdo tuto bezpečnostní díru objevil a zneužil.
Vysvětli mi: Proč mám ihned po registraci administrátorská práva?
Po jaký registraci? Resp. jak říkám, já jsem spravoval vzhled stránek a další věci .. co se týče funkčnosti, nezasahoval jsem do ničeho ...
Kite, může vás (tě) poprosit o nějakou bližší komunikaci třeba skrze ICQ? asi toho bude víc ... jestli teda byste (bys) byl ochotnej mi věnovat chvilku čas .. ?
Tady je obvyklé tykání.
ICQ nepoužívám a e-mail jsem uložil do registrace na tvém webu, než jsi můj účet smazal. Ovšem vůbec se mi do takové akce nechce. Zdarma radím jen na fórech.
Jsem zazmatkoval, tak promiň .. překvapilo mě, jak ses tam dostal, protože běžně můžu registrovat jen skrze admin stránku a může to dělat jen ten, kdo sám je registrovanej, aspoň v tomhle jsem chvíli žil :)
Nevadí ... chápu, je to vaše práce a byly by to věci navíc, tak to nechte být .. stejně budeme muset udělat komplet nový stránky a já doufám, že už to nebude na mou pěst, neb to by dopadlo tragikomicky ... Tak nevadí, ale stejně díky ... pokusím si s tím nějak pohrát ...
Poznámka o ladění webu - naprosto souhlasím, mělo by se to odladit, protože je na něm vidět, že se načítá pomalu a má spousty chyb, ale tím, že nemáme nikoho, kdo by to pro nás udělal (známého a levně/zadarmoo), tak se musíme spokojit s tím, co máme ..
Původní dotaz byl na ty odkazy do akcí, tak se jen chci zeptat, proč mi předtím naprosto stejný příkaz odkaz vytvořil a teď to hlásí cosi s MySQL .. ?
Jak už jsem psal: Když jsem se do administrace dostal bez nějakých hacků, mohl to udělat kdokoli. Pokud by akce byly zobrazovány pomocí funkce include(), stačí pak dopsat kousek v PHP a útočník si s webem může dělat co chce. Zřejmě se v tom někdo rýpal a tu akci nedodělal.
Zkusil jsi už obrátit to zpětné lomítko? Nebo snad po mně chceš, aby ti to tam rovnou opravil, když už se v tom webu mohu vrtat dle libosti?
Samozřejmě nechci .. To lomítko už jsem opravil, dokonce jsem si všiml, jak si upozornil, že odkazoval na err.vl, kterej neexistuje, tak jsem to přepsal na .php, ale stejně chyba s MySQL nezmizela ... můžu se zeptat, jak jsi se do administrace dostal?
http://mra.webz.cz/admin/
to ano, ale tam není žádný formulář k registraci nového člena a bez přihlášení by vás to nemělo pustit dál, nebo jo?
Zajímavé. Teď už to nefunguje, ale stačilo kliknout na "Globální nastavení", pak na "Uživatelé".
Když opakovaně klikám na odkazy, tak mi to občas dá nějaký administrátorský dialog. Před chvílí jsem změnil počet zobrazovaných akcí na 1000 a pak možná na 1008 (nepotvrzeno).
V každém případě se to chová divně. Možná je na vině nějaká nevhodně nastavená cache.
Nevím, překvapils mě, jak ses tam dostal ... Nevadí, díky za čas, zkusím si s tím pohrát ...
Když tak na to koukám, tak bych se nedivil, že se tam Kit dostal. Klidně bych se tam dostal i já. Tvoje skripty obsahuji několik bezpečnostních děr, které umožňuji se dostat do administrace i jinak než klasickou cestou.
Říkám, že já ty stránky nedělal, jen jsem jim upravil vzhled ... Ty stránky jsou 7 let starý ...