Beta-Testeadme! (II)

8 Abr, 2005  General, Internet, PHP, Peripecias

El otro día ya os pedía que me probaseis la galería que estaba haciendo, y bueno, tras hablar con los de mi hosting (era problema de memorias virtuales y tal), pues he conseguido que vaya perfectamente por ahora, pero como dice mi profesor de programación, nadie puede probarte mejor un programa, que tu peor enemigo, y mejor aún si es un torpe y tal, así que os dejo la web entera AQUÃ? para que la probeis en general, aunque con que probeis el foro y la galería de imagenes me vale, ya que lo demás es tema administrativo y tal…
He creado el usuario: PHP con contraseña: TORPES, aunque por si os da la neura o este no os va correctamente, he desbloqueado el tema del registro, que luego dejará solo registrarse desde la red interna de los apartamentos a los que va dirigida la web (seguridad y rollos de esos), así que eso, os invito a probarlo y a dejar los comentarios pertinentes :D.

3 comentarios

  1.  

    IoZ said,

    Wrote on Abril 8, 2005 @ 11:09

    Bueno, por lo pronto lo que yo veo es un agujero/boquete/socavón ENORME de sistema de secciones que utilizas. Y es que NUNCA debes utilizar una variable que se pasa a traves de GET (o POST) para obtener el nombre del archivo que vas a incluir.
    Es decir, tu utilizas el valor de la variables “s” que se pasa a traves de GET para obtener el nombre del include. Por ejemplo, si pones: http://www.patoroco.net/apartamentos2/?s=admin_noticias_form
    haces un include del archivo “admin_noticias_form.php”.
    Pero que pasa si ahora llega un chico malo y pone el nombre de otro archivo que le de la gana (imaginate que ha subido un script enmascarandolo como una imagen o alguna otra cosa). Por ponerte un ejemplo, si pones lo siguiente:
    http://www.patoroco.net/apartamentos2/?s=../utilidades/formulario
    tendrás tu “resizeador” incluido en esa aplicación.

    Para solucionar esto hay varios metodos, pero uno de los más seguros es el tener un array del tipo: nombre_seccion->archivo_include, de forma que lo que le pases por la url sea el nombre de sección y partir de este obtengas el include que le corresponde.

    Salu2

  2.  

    IoZ said,

    Wrote on Abril 8, 2005 @ 11:11

    ¿Los comentarios aquí estaban moderados?
    Es que el anterior que he puesto no ha salido.
    P.D.: Este lo puedes borrar

  3.  

    PaToRoCo said,

    Wrote on Abril 8, 2005 @ 11:43

    Es que tengo moderados los que aparecen más de dos enlaces, pero ya te lo he aceptado.
    Muchas gracias por el consejo, y a ver si esta tarde busco un ratuco y lo hago.
    Gracias ^^

Comment RSS