• Автор:

    Flesha
  • Добавлено:

    сен 04, 2013
  • Комментариев:

    2
  • Просмотров:

    2 500

Фикс в безопасности DLE 10.0

Фикс в безопасности DLE 10.0

Ранее уже публиковал статью, в которой писал исправление небольшой опечатки в .htaccess. Конкретно в указанном месте celsoft опечатку исправил, а вот в другом файле осталась.

Для начала напомню для старых версий DLE 9.8 и младше
Файл /uploads/.htaccess
Самая первая строка:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">


А именно [Ph], т.е. это упущение позволяет запускать *.phtml файлы из папки uploads. Вопрос - как они туда могут попасть, это уже другая тема. В данном случае это упущение позволяет запускать подобные файлы.

Не сложно догадаться, что чтобы исправить опечатку, достаточно тут подправить [Ph] следующим образом [Pp]. В итоге получится такая строка:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Tt][Mm][Ll])\.?">


На заметку, PHP обрабатывает *.phtml файлы так же как обычный *.php файл.
Убедиться в этом можно, посмотрев конфиг файл сервера:
AddType application/x-httpsd-php .php .php5 .phtml


Но точно такая же ошибка осталась в DLE 10 в файле /templates/.htaccess
Что с ней делать вы уже знаете :)

С уважением,
Олег Александрович a.k.a. Sander
Источник: SanDev.pro dle
Вернуться

Комментарии:


  1. Skillet → 5 сентября 2013 21:47
    Уже в дле 10.0 если скачивать новую версию поправлено ( при условии что лицензия)
  2. sadan → 5 сентября 2013 22:09
    даннык совет не баг фикс а просто пустота вы этим только себе голову поламаете, ни чего от этого не будет

    баг с линейки 9.х давно поправлено и он н лежит в .htaccess а на функции движка надо просто внимательно читать

    ну я не делаю вывод и критикую sander'a он кончено классный веб-мастер но увы оО
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.