Обнаружение Полного Пути в phpBB и в phpNuke
 

В настоящее время хакеры для обнаружения полного пути до скрипта пользуются отсутствием проверки переменной на массив перед вызовом функции htmlspecialchars(), preg_match() и тому подобных. Особенно те переменные которые передаются скрипту из вне методом POST или GET.
В результате чего, сконфигурировав правильно запрос, злоумышленник увидит полный путь!

Т.к. phpNuke и phpBB как и многие скрипты не обладают такой проверкой, то самой правильной и нужной, для тех кто еще не сделал это, просто запретить вывод ошибок php на экран, для этого добавьте строчку в файл config.php:

это хоть где можно прописать?

Vek читайте все написано же:


если у вас phpNuke 7.8 или нюка с патчем 3,0, то этого делать не надо.
а в PHP-NUKE 7.7 данная строка содержится в файле mainfile.php

а в конфиге в любом месте прописать?

Vek да, только отдельной строкой.

Vek Если стоит более ранняя версия патча то данный код ini_set('display_errors','0'); установлен вверху файла mainfile.php если там поставить 0 или 1 то соответственно включается и выключается вывод ошибок на экран а в более поздних патчах это есть в файле config.php

уже давно воткнул в маинфайл а я даже не знал серьезность предназначения этой функции
мне пришлось ее воткнуть так как на локалке одни ошибки показывались

з.ы. аватары тут умереть - не встать! почему низя свои добавлять?

MadMan

таковы правила нашего форума!

да не впринцепе даже угарно =)