Bacheca di Razza

Bacheca di Razza postato il 21/03/2010 09:25:07 nel forum programmazione, open source e hosting e modificato da kyra__ il 21/03/2010 09:26:48

Ciao a tutti! :)
Eccomi qui per chiedere consiglio a voi, esperti del web.
Ho provato a dare un'occhiata ai vari topic presenti, ma non ho trovato quello che cercavo, quindi propongo di nuovo la domanda.

Come si possono creare delle bacheche riservate alla razza con il GDRCD-EXTREME? Quando scelgo la modalità della bacheca per renderla riservata alla razza, compare la scritta 'Bacheca riservata alla razza!' e non mi permette di accedere.
Spulciando nel codice del file araldo.php non sono riuscita a capire quale sia il problema, ma magari voi saprete illuminarmi 😅

$MinIDRazza = 0 + floor($_SESSION['IDRazza_S']/10)*10;
$MaxIDRazza = 0 + (floor($_SESSION['IDRazza_S']/10)+ 1)*10;

<td align=left valign=top width="50%"><b><a class=MyTxt_link href="bacheca.php?ID=<?= $rs['IDAraldo'] ?>"><?= htmlspecialchars($rs['Descrizione']) ?><?
if ($Numero > 0) {
echo " ($Numero)";
}
?></a></b></td> <? if (($rs['Capo'] == 1) and ($rs['Master'] == 1)) { ?>
<td valign=top>Riservato ai Master e Narratori</td>
<? } elseif ($rs['Master'] == 1) { ?>
<td valign=top>Riservato ai Narratori</td>
<? } elseif ($rs['Capo'] == 1) { ?>
<td valign=top>Riservato ai Master</td>
<? } elseif ($rs['Gilda'] == 1) { ?>
<td valign=top>Riservato alla Corporazione di appartenenza</td>
<? } elseif ($rs['Razza'] == 1) { ?>
<td valign=top>Riservato alla Razza di appartenenza</td>
<? } elseif ($rs['CapoRazza'] == 1) { ?>
<td valign=top>Riservato ai Capi Razza</td>
<? } else { ?>
<td> </td>
<? } ?>
</tr></TBODY></TABLE></TD>
</TR>
<? }
$rs->close;
mysql_free_result($Result);

21/03/2010 09:59:48

Si ma così mi demoralizzi ^^''

26/03/2010 12:23:44 e modificato da raysmoke il 26/03/2010 12:26:49

mi aggiungo al topic per chiedere a mr_faber se nella tua versione ci sono possibilità di aggiunta di bacheche ristrette alle gilde e/o alle razze.

26/03/2010 13:49:43

piccolo appunto. forse è meglio

/*Tipi di forum*/
define('INGIOCO',0);
define('SOLORAZZA', 1);
define('PERTUTTI',2);
define('SOLOMASTERS',3);
define('SOLOMODERATORS', 4);

in quanto poi un utente normale non soddisfa la richiesta ad inizio script

if ((($_SESSION['permessi']<GAMEMASTER)&&($row['tipo']>=SOLOMASTERS))||
(($_SESSION['permessi']<MODERATOR)&&($row['tipo']>=SOLOMODERATORS))){
print '<div class="error">'.gdrcd_filter_out($MESSAGE['error']['not_allowed']).'</div>'; ?>

26/03/2010 20:36:29 e modificato da takkero il 26/03/2010 21:04:01

il metodo a range è parecchio .... di cacca...

il secondo metodo è già più funzionale... anche se si puo fare decisamente di meglio... senza contare che utilizzare cosi tante variabili di sessione in termini di sicurezza è sbagliatissimo... alla fine ne bastano 2..una per identificare l'utente e la seconda per applicare un lucchetto di sicurezza alla prima variabile di sessione...

il primo bug che trovo carico un file php che esegue
print_r($_SESSION);
ed ecco che divento admin in 10 secondi netti...

27/03/2010 09:55:21

come giustamente faceva notare mr_faber le informazioni in sessione sono dati alla portata di tutti; basta andare in una qualsiasi scheda di personaggio per sapere quel pg cosa carica nell'array $_SESSION; e poi, salvo modifiche non intelligenti, gdrcd5 non credo sia strutturato per un upload di files, nè tanto meno ci sono delle inclusioni fallate.
nell'eventualità di una tua ricerca con successo, confido nella bontà d'animo di postare il problema.

27/03/2010 18:32:36

bè sotto il print_r ci metto un po di define e mi cambio il nome di sessione da PIPPO a PLUTO automaticamente ereditando tutti i suoi privilegi compreso quello di ruolare a nome suo... poi certo che potendo uppare file si possono fare cose ben diverse però il massimo è alla fine sputtanare il database...cosa che un backup pianificato giornamente da un cpanel/0lesk attenua i danni....

27/03/2010 21:09:24 e modificato da dyrr il 27/03/2010 21:11:38

Non vorrei sparare una grossa cavolata.
Ma volendo essere sicuri di non trovarsi sorprese sull'esecuzione di script uppati per falle di pagine che consentono l'upload, visto che i vari gdrcd effettuano l'upload solo all'interno della cartella img e sottocartelle non sarebbe cosa utile limitare l'accesso solo ai file di tipo immagine di quelle directori modificando l'.htaccess in questo modo?

<Files ˜ ".+">
Order allow,deny
Deny from all
</Files>
<Files ˜ "\.jpg$|\.gif$|\.png$">
Order allow,deny
allow from all
</Files>

negando prima l'accesso a tutti i tipi di file e poi permettendolo solo a quelli specifici delle immagini si dovrebbe impedire l'esecuzione diretta di eventuali script uppati nella directory semplicemente digitandone il link?
Immagino che ci siano sistemi per aggirare anche questo metodo ma un pò di sicurezza in più non dovrebbe guastare
sono ancora alle prime armi con l'.htaccess, per cui se ho scritto qualche boiata colossale fatemi sapere