Você não está conectado. Conecte-se ou registre-se

Power Pixel » Games » MMO & RPG » Habbo Hotel » Livre » RaresHotel ~ HelioCMS V5 + PlusEmulator.

RaresHotel ~ HelioCMS V5 + PlusEmulator.

Ver o tópico anterior Ver o tópico seguinte Ir em baixo  Mensagem [Página 1 de 1]

1 RaresHotel ~ HelioCMS V5 + PlusEmulator. em Seg 21 Nov 2016 - 8:58

jmths

Membro


avatar
Olá pessoal! Estou montando um hotel no meu computador que provavelmente, num futuro com arranjo de patrocínio irei passar para uma hospedagem/vps.
Provavelmente entrará em ação em dezembro ou 2017.

Basicamente o que estou fazendo é arrumando a CMS e o EMULADOR, traduzindo e minimizando os riscos de uma invasão bobba.

Algumas prints.


** CMS:
Spoiler:

index.php


me.php


settings/privacity.php


settings/security.php


settings/password.php


settings/email.php


settings/avatars.php




forgotten.php


staff.php


divulgadores.php


** DENTRO DO HOTEL
Spoiler:

Recepção:


Parte "Mobis" do catálogo:


Em breve mais prints!

ps: quem estiver afim de patrocinar o hotel fornecendo hospedagem, vps e domínio em troca de anúncios pelo site e todo dinheiro arrecadado com o sistema VIP basta entrar em contato comigo.

--- CARACTERÍSTICAS DO HOTEL:
Sistema de grupos funcionando corretamente;
Sistema de mercado-livre funcionando;
Sessão de raros e colecionáveis exclusivos no catálogo funcionando;
Mobis personalizados no catálogo;
Catálogo totalmente revisado e fixado;
— Lajota funcionando corretamente;
:comandos com explicação de cada um dos comandos e com alguns comandos novos;

-------- CONTRIBUIÇÕES:
Luan Martins / CMS — por ajudar a colocar uma proteção extra, minimizando os ricos de uma invasão!

Página do hotel no facebook: https://www.facebook.com/RaresHotel



Última edição por jmths em Ter 13 Dez 2016 - 11:13, editado 8 vez(es) (Razão : Att 1 /)

Ver perfil do usuário

Luan Martins

Membro Diamante


avatar
Como eu te disse no outro topico jmths
Essa cms é vulneravel a sql injection, porque eu sei?
bom ela não filtra os dados que entra em seu banco, um exemplo disso se encontra no codigo de login que você mesmo me mandou.

codigo
Código:
<?php
ini_set('default_charset','UTF-8','ISO-8859-');
if (isset($_POST['login'])) {
$emailorusername = $_POST['emailorusername'];
$password = $_POST['password'];
$user_verify = mysql_query("select * from users where username = '"{$emailorusername}"' OR mail = '"{$emailorusername}"' AND password = '"{md5($password);}"'");
$user_fetch = mysql_fetch_assoc($user_verify);
$ban_check = mysql_query("SELECT * FROM bans WHERE value='$user_fetch[username]'");
if (empty($emailorusername)) {
echo '<div id="toast_container_s" class="toast-top-center" aria-live="polite" role="alert"><div class="toast toast-error" style="display: tab[b][/b]le;"><div class="toast-message">O campo de usuário está vazio!</div></div></div>';
}else{
if (empty($password)) {
echo '<div id="toast_container_s" class="toast-top-center" aria-live="polite" role="alert"><div class="toast toast-error" style="display: tab[b][/b]le;"><div class="toast-message">O campo de senha está vazia!</div></div></div>';
}else{
if (mysql_num_rows($user_verify) == 0) {
echo '<div id="toast_container_s" class="toast-top-center" aria-live="polite" role="alert"><div class="toast toast-error" style="display: tab[b][/b]le;"><div class="toast-message">Usuário ou senha incorretos!</div></div></div>';
}else{
if(mysql_num_rows($ban_check) == 1){
$ban = mysql_fetch_assoc($ban_check);
echo '<div id="toast-container" class="toast-top-center toast-sticky" aria-live="polite" role="alert"><div class="toast toast-error" style="display: block;"><div class="toast-progress"></div><div class="toast-title">VOCÊ FOI BANIDO!</div><div class="toast-message"><button id="toast-close" class="toast-button">OK</button></div></div></div>';
}else{
$user_safety_a = mysql_query("SELECT * FROM heliocms_safetyquestions WHERE email='$user_fetch[mail]'");
$user_safety_q = mysql_fetch_assoc($user_safety_a);
$_SESSION['id'] = $user_fetch['id'];
if ($user_safety_q['trusted_ip'] <> $ip) {
mysql_query("UPDATE heliocms_safetyquestions SET active='1' WHERE email='$user_fetch[mail]'");
}
mysql_query("UPDATE users SET ip_last='$ip' WHERE mail='$user_fetch[mail]'");
mysql_query("INSERT INTO heliocms_sessions (last,user_id) VALUES ('".time()."','$user_fetch[id]')");
header ("Location: $og");
}}}}}
?>

$_POST['emailorusername']


como você ve ela busca o dado diretamente do formulario e ja envia para o banco de dados, isso é um erro fatal, se alguem mal intencionado, que realmente souber sql injection, vai entrar e arregaçar vc
mas por um lado.
eu fiz tec de ti, fiz ciencias da computação, e não sei fazer sql injection, tambem nunca tentei aprender,


mas que tem vulnerabilidade tem, e estou te apresentando ela, caso queira corrigir, você vai ter que fazer funções para verificar entrada de dados


vai ter que usar Regex do Php
e as constantes padrões do filter_input do php


vou passar aqui para você o manual do php com essa parte que interessa, mas lembrando só isso não é necessario.


http://php.net/manual/en/filter.filters.sanitize.php



espero que de sorte e arrume um patrocinador bom que queira manter seu projeto!


exemplo de uso do filtro


$emb1   = filter_input(INPUT_POST, 'fileira1' ,  FILTER_SANITIZE_STRING,  FILTER_FLAG_ENCODE_AMP);



lembrando que só isso não te da um escudo, mas certamente dificultaria bastante!

Ver perfil do usuário http://www.hapixel.com.br

jmths

Membro


avatar
@Luan Martins escreveu:Como eu te disse no outro topico jmths
Essa cms é vulneravel a sql injection, porque eu sei?
bom ela não filtra os dados que entra em seu banco, um exemplo disso se encontra no codigo de login que você mesmo me mandou.
Olá meu caro Luan!
Obrigado pelo cuidado extra.

Porém eu dei uma proteção "extra" usando este tópico: http://www.power-pixel.net/t76443-fix-atualizacoes-contra-sql-injection-heliocms

Pesquisei todas as partes que usam $_GET para dificultar o acesso ao sql injection.

Porém vou tentar dar uma lida sobre o assunto pra proteger mais a cms, pois o hotel só está previsto para 2017.

E então vou aproveitar esse tempo todo, e adicionar a todos as linhas de $_GET e $_POST, o filter_input.

Ver perfil do usuário

Luan Martins

Membro Diamante


avatar
eu recomendo a você tirar tudo que for $_GET

e boa sorte com o projeto,

Ver perfil do usuário http://www.hapixel.com.br

jmths

Membro


avatar
@Luan Martins escreveu:eu recomendo a você tirar tudo que for $_GET

e boa sorte com o projeto,

Estou fazendo isso, veja se o exemplo tá certo:
Código:

$emailorusername = filter_input(INPUT_POST, 'emailorusername', FILTER_SANITIZE_STRING, FILTER_FLAG_ENCODE_AMP);

Nos que tem $_GET, estou usando INPUT_GET
e nos $_POST, INPUT_POST.

ps: as fotos do tópico não estão atualizadas, fiz algumas mudanças e atualizarei-as em breve.

Ver perfil do usuário

Cr4sher

Membro Bronze


avatar
Acho a CMS bonita, porém como o Luan disse ela tem vulnerabilidades, se voce fixar certinho vai dar muito bom.
Boa sorte

Ver perfil do usuário

jmths

Membro


avatar
Olá pessoal, bom dia a todos!!

Agradeço a todos pela ajuda e pelas leituras sobre as falhas do $_GET e $_POST, gostaria de comunicar que alterei todos os $_GET/POST encontrados na CMS e utilizei o sistema de filter_input como aqui indicados pela galera!!

Aproveitando o momento, atualizei a CMS com algumas fotos totalmente recentes e em breve adicionarei fotos do client.php!!
Devido créditos de contribuições adicionado ao tópico.

Ver perfil do usuário
qual seu contato mano?

Ver perfil do usuário

jmths

Membro


avatar
@OrlandoLucas escreveu:qual seu contato mano?

Você pode enviar mensagem através da página do hotel, pois não possuo skype ou algo do tipo.

https://www.facebook.com/RaresHotel

----

TÓPICO ATUALIZADO, adicionado +1 uma print exclusiva de dentro do hotel!

Ver perfil do usuário

10 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Ter 13 Dez 2016 - 12:14

P4blo

Membro Bronze


avatar
credo mano, troca essa cms
é horrível

Ver perfil do usuário

11 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Ter 13 Dez 2016 - 16:13

nadi0s

VIP


avatar
Boa sorte no projeto.



Power Pixel Awards: Venci em 10!
Ver perfil do usuário http://www.nadi0s.com

jmths

Membro


avatar
Pessoal, infelizmente desisti do projeto.
Principais motivos:

1. O custo mensal pra manter o servidor inicialmente é muito alto, hospedagem, vps e proteção e tudo mais.
E eu não tenho emprego e muito menos quem me ajude a sustentar o hotel, a divulgá-lo e etc.

2. Problemas familiares.

CONTUDO, disponibilizei as edições que eu fiz para que vocês possam usá-lo no hotel de vocês.

TÓPICO REFERENTE: http://www.power-pixel.net/t77643-rarespack-cms-swf-e-emu#500582

Ver perfil do usuário

otsueidi

Novato


avatar
Me adicione no Skype: otsueidi 
Tenho interesse em ajudar e fazer esta parceria.
Aguardo retorno!

Ver perfil do usuário

14 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Qui 29 Dez 2016 - 15:30

iSkell

Membro


avatar
parece bom

Ver perfil do usuário

15 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Qui 29 Dez 2016 - 15:35

Cen0n

Membro Bronze


avatar
Isso não é um projeto, é algo pronto e baixado kk

Ver perfil do usuário http://www.power-pixel.net

16 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Sex 30 Dez 2016 - 21:32

Luan Martins

Membro Diamante


avatar
jmths qual seu skype? tenho umas pessoas aqui que estão afim de montar habbo, e raxar com alguem as despesas, enquanto as despesas

não precisa de Hospedagem, se já tem vps pra que vai pagar hospedagem???

Ver perfil do usuário http://www.hapixel.com.br

17 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Sex 30 Dez 2016 - 21:35

skorpian69

Membro Bronze


avatar
este pack é o que estou usando e aconselho, apesar de ainda ter muita coisa para traduzir e os bots para arrumar (das bebidas) mobs e roupas de natal se usar o hotel desconecta) tirando isto está muito bom, foi o melhor que achei até agora.

Ver perfil do usuário

18 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Sex 30 Dez 2016 - 21:47

Luan Martins

Membro Diamante


avatar
@skorpian69 escreveu:este pack é o que estou usando e aconselho, apesar de ainda ter muita coisa para traduzir e os bots para arrumar (das bebidas) mobs e roupas de natal se usar o hotel desconecta) tirando isto está muito bom, foi o melhor que achei até agora.


vc está usando cms Helio? Comece a troca-la, cms com php muito antigo, varias funções já não funciona nas versões mais recentes do php, 

inclusive a mesma tem varias, e varias vulnerabilidades...

Ver perfil do usuário http://www.hapixel.com.br

19 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Sex 30 Dez 2016 - 21:51

skorpian69

Membro Bronze


avatar
para usar com este pack qual CMS que vc aconselha, vc que é o mestre disto em vc confio no gosto e conhecimento

Ver perfil do usuário

20 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Sex 30 Dez 2016 - 21:53

Luan Martins

Membro Diamante


avatar
a cms que eu vi aqui mais confiável é a Brian cms, algo desse tipo, vai em pesquisar e coloca esse nome, vai acha-la, ela usa PDO a mais recente API de conexão com banco de dados.

Ver perfil do usuário http://www.hapixel.com.br

21 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Sex 30 Dez 2016 - 21:54

skorpian69

Membro Bronze


avatar
e será que dá com este emulador, DB e SWF? não queria tar mudando tudo de novo :D

Ver perfil do usuário

22 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Sex 30 Dez 2016 - 22:00

Luan Martins

Membro Diamante


avatar
Funciona com Plus emulador, então provavelmente vai dar sim, faz um teste, mas não exclui nada seu, compactar em rar, e faz um teste com essa cms ai.

Ver perfil do usuário http://www.hapixel.com.br

23 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Sex 30 Dez 2016 - 22:02

skorpian69

Membro Bronze


avatar
baixei e não tem quase ficheiro nenhum, não tem client nem core, como é que configura?  :scratch:

Ver perfil do usuário

24 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Sex 30 Dez 2016 - 22:02

Luan Martins

Membro Diamante


avatar
Funciona com Plus emulador, então provavelmente vai dar sim, faz um teste, mas não exclui nada seu, compactar em rar, e faz um teste com essa cms ai.

Ver perfil do usuário http://www.hapixel.com.br
Is an SQL included with the CMS, that also has information for the catalogue? I'm not sure how it would work otherwise.

Ver perfil do usuário

26 Re: RaresHotel ~ HelioCMS V5 + PlusEmulator. em Ter 10 Jan 2017 - 10:07

Bilzerian

Membro


avatar
CMS interessante, porém com algumas falhas

Ver perfil do usuário

Conteúdo patrocinado



Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo  Mensagem [Página 1 de 1]

Permissão deste fórum:
Você não pode responder aos tópicos neste fórum