Power Pixel

Fórum sobre diversos assuntos da internet, tenha suporte & conteúdo


Compartilhe

descriptionRaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Relembrando a primeira mensagem :

Olá pessoal! Estou montando um hotel no meu computador que provavelmente, num futuro com arranjo de patrocínio irei passar para uma hospedagem/vps.
Provavelmente entrará em ação em dezembro ou 2017.

Basicamente o que estou fazendo é arrumando a CMS e o EMULADOR, traduzindo e minimizando os riscos de uma invasão bobba.

Algumas prints.


** CMS:
Spoiler :

index.php


me.php


settings/privacity.php


settings/security.php


settings/password.php


settings/email.php


settings/avatars.php




forgotten.php


staff.php


divulgadores.php



** DENTRO DO HOTEL
Spoiler :

Recepção:


Parte "Mobis" do catálogo:



Em breve mais prints!

ps: quem estiver afim de patrocinar o hotel fornecendo hospedagem, vps e domínio em troca de anúncios pelo site e todo dinheiro arrecadado com o sistema VIP basta entrar em contato comigo.

--- CARACTERÍSTICAS DO HOTEL:
Sistema de grupos funcionando corretamente;
Sistema de mercado-livre funcionando;
Sessão de raros e colecionáveis exclusivos no catálogo funcionando;
Mobis personalizados no catálogo;
Catálogo totalmente revisado e fixado;
— Lajota funcionando corretamente;
:comandos com explicação de cada um dos comandos e com alguns comandos novos;

-------- CONTRIBUIÇÕES:
Luan Martins / CMS — por ajudar a colocar uma proteção extra, minimizando os ricos de uma invasão!

Página do hotel no facebook: https://www.facebook.com/RaresHotel

Última edição por jmths em Ter 13 Dez 2016 - 12:13, editado 8 vez(es) (Razão : Att 1 /)

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Como eu te disse no outro topico jmths
Essa cms é vulneravel a sql injection, porque eu sei?
bom ela não filtra os dados que entra em seu banco, um exemplo disso se encontra no codigo de login que você mesmo me mandou.

codigo

Código:

<?php
ini_set('default_charset','UTF-8','ISO-8859-');
if (isset($_POST['login'])) {
$emailorusername = $_POST['emailorusername'];
$password = $_POST['password'];
$user_verify = mysql_query("select * from users where username = '"{$emailorusername}"' OR mail = '"{$emailorusername}"' AND password = '"{md5($password);}"'");
$user_fetch = mysql_fetch_assoc($user_verify);
$ban_check = mysql_query("SELECT * FROM bans WHERE value='$user_fetch[username]'");
if (empty($emailorusername)) {
echo '<div id="toast_container_s" class="toast-top-center" aria-live="polite" role="alert"><div class="toast toast-error" style="display: tab[b][/b]le;"><div class="toast-message">O campo de usuário está vazio!</div></div></div>';
}else{
if (empty($password)) {
echo '<div id="toast_container_s" class="toast-top-center" aria-live="polite" role="alert"><div class="toast toast-error" style="display: tab[b][/b]le;"><div class="toast-message">O campo de senha está vazia!</div></div></div>';
}else{
if (mysql_num_rows($user_verify) == 0) {
echo '<div id="toast_container_s" class="toast-top-center" aria-live="polite" role="alert"><div class="toast toast-error" style="display: tab[b][/b]le;"><div class="toast-message">Usuário ou senha incorretos!</div></div></div>';
}else{
if(mysql_num_rows($ban_check) == 1){
$ban = mysql_fetch_assoc($ban_check);
echo '<div id="toast-container" class="toast-top-center toast-sticky" aria-live="polite" role="alert"><div class="toast toast-error" style="display: block;"><div class="toast-progress"></div><div class="toast-title">VOCÊ FOI BANIDO!</div><div class="toast-message"><button id="toast-close" class="toast-button">OK</button></div></div></div>';
}else{
$user_safety_a = mysql_query("SELECT * FROM heliocms_safetyquestions WHERE email='$user_fetch[mail]'");
$user_safety_q = mysql_fetch_assoc($user_safety_a);
$_SESSION['id'] = $user_fetch['id'];
if ($user_safety_q['trusted_ip'] <> $ip) {
mysql_query("UPDATE heliocms_safetyquestions SET active='1' WHERE email='$user_fetch[mail]'");
}
mysql_query("UPDATE users SET ip_last='$ip' WHERE mail='$user_fetch[mail]'");
mysql_query("INSERT INTO heliocms_sessions (last,user_id) VALUES ('".time()."','$user_fetch[id]')");
header ("Location: $og");
}}}}}
?>


$_POST['emailorusername']


como você ve ela busca o dado diretamente do formulario e ja envia para o banco de dados, isso é um erro fatal, se alguem mal intencionado, que realmente souber sql injection, vai entrar e arregaçar vc
mas por um lado.
eu fiz tec de ti, fiz ciencias da computação, e não sei fazer sql injection, tambem nunca tentei aprender,


mas que tem vulnerabilidade tem, e estou te apresentando ela, caso queira corrigir, você vai ter que fazer funções para verificar entrada de dados


vai ter que usar Regex do Php
e as constantes padrões do filter_input do php


vou passar aqui para você o manual do php com essa parte que interessa, mas lembrando só isso não é necessario.


http://php.net/manual/en/filter.filters.sanitize.php



espero que de sorte e arrume um patrocinador bom que queira manter seu projeto!


exemplo de uso do filtro


$emb1   = filter_input(INPUT_POST, 'fileira1' ,  FILTER_SANITIZE_STRING,  FILTER_FLAG_ENCODE_AMP);



lembrando que só isso não te da um escudo, mas certamente dificultaria bastante!

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
@Luan Martins escreveu:
Como eu te disse no outro topico jmths
Essa cms é vulneravel a sql injection, porque eu sei?
bom ela não filtra os dados que entra em seu banco, um exemplo disso se encontra no codigo de login que você mesmo me mandou.

Olá meu caro Luan!
Obrigado pelo cuidado extra.

Porém eu dei uma proteção "extra" usando este tópico: http://www.power-pixel.net/t76443-fix-atualizacoes-contra-sql-injection-heliocms

Pesquisei todas as partes que usam $_GET para dificultar o acesso ao sql injection.

Porém vou tentar dar uma lida sobre o assunto pra proteger mais a cms, pois o hotel só está previsto para 2017.

E então vou aproveitar esse tempo todo, e adicionar a todos as linhas de $_GET e $_POST, o filter_input.

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
eu recomendo a você tirar tudo que for $_GET

e boa sorte com o projeto,

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
@Luan Martins escreveu:
eu recomendo a você tirar tudo que for $_GET

e boa sorte com o projeto,


Estou fazendo isso, veja se o exemplo tá certo:

Código:


$emailorusername = filter_input(INPUT_POST, 'emailorusername', FILTER_SANITIZE_STRING, FILTER_FLAG_ENCODE_AMP);


Nos que tem $_GET, estou usando INPUT_GET
e nos $_POST, INPUT_POST.

ps: as fotos do tópico não estão atualizadas, fiz algumas mudanças e atualizarei-as em breve.

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Acho a CMS bonita, porém como o Luan disse ela tem vulnerabilidades, se voce fixar certinho vai dar muito bom.
Boa sorte

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Olá pessoal, bom dia a todos!!

Agradeço a todos pela ajuda e pelas leituras sobre as falhas do $_GET e $_POST, gostaria de comunicar que alterei todos os $_GET/POST encontrados na CMS e utilizei o sistema de filter_input como aqui indicados pela galera!!

Aproveitando o momento, atualizei a CMS com algumas fotos totalmente recentes e em breve adicionarei fotos do client.php!!
Devido créditos de contribuições adicionado ao tópico.

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
qual seu contato mano?

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
@OrlandoLucas escreveu:
qual seu contato mano?


Você pode enviar mensagem através da página do hotel, pois não possuo skype ou algo do tipo.

https://www.facebook.com/RaresHotel

----

TÓPICO ATUALIZADO, adicionado +1 uma print exclusiva de dentro do hotel!

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
credo mano, troca essa cms
é horrível

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Boa sorte no projeto.

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Pessoal, infelizmente desisti do projeto.
Principais motivos:

1. O custo mensal pra manter o servidor inicialmente é muito alto, hospedagem, vps e proteção e tudo mais.
E eu não tenho emprego e muito menos quem me ajude a sustentar o hotel, a divulgá-lo e etc.

2. Problemas familiares.

CONTUDO, disponibilizei as edições que eu fiz para que vocês possam usá-lo no hotel de vocês.

TÓPICO REFERENTE: http://www.power-pixel.net/t77643-rarespack-cms-swf-e-emu#500582

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Me adicione no Skype: otsueidi 
Tenho interesse em ajudar e fazer esta parceria.
Aguardo retorno!

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
parece bom

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Isso não é um projeto, é algo pronto e baixado kk

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
jmths qual seu skype? tenho umas pessoas aqui que estão afim de montar habbo, e raxar com alguem as despesas, enquanto as despesas

não precisa de Hospedagem, se já tem vps pra que vai pagar hospedagem???

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
este pack é o que estou usando e aconselho, apesar de ainda ter muita coisa para traduzir e os bots para arrumar (das bebidas) mobs e roupas de natal se usar o hotel desconecta) tirando isto está muito bom, foi o melhor que achei até agora.

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
@skorpian69 escreveu:
este pack é o que estou usando e aconselho, apesar de ainda ter muita coisa para traduzir e os bots para arrumar (das bebidas) mobs e roupas de natal se usar o hotel desconecta) tirando isto está muito bom, foi o melhor que achei até agora.



vc está usando cms Helio? Comece a troca-la, cms com php muito antigo, varias funções já não funciona nas versões mais recentes do php, 

inclusive a mesma tem varias, e varias vulnerabilidades...

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
para usar com este pack qual CMS que vc aconselha, vc que é o mestre disto em vc confio no gosto e conhecimento

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
a cms que eu vi aqui mais confiável é a Brian cms, algo desse tipo, vai em pesquisar e coloca esse nome, vai acha-la, ela usa PDO a mais recente API de conexão com banco de dados.

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
e será que dá com este emulador, DB e SWF? não queria tar mudando tudo de novo :D

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Funciona com Plus emulador, então provavelmente vai dar sim, faz um teste, mas não exclui nada seu, compactar em rar, e faz um teste com essa cms ai.

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
baixei e não tem quase ficheiro nenhum, não tem client nem core, como é que configura?  :scratch:

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Funciona com Plus emulador, então provavelmente vai dar sim, faz um teste, mas não exclui nada seu, compactar em rar, e faz um teste com essa cms ai.

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Is an SQL included with the CMS, that also has information for the catalogue? I'm not sure how it would work otherwise.

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
CMS interessante, porém com algumas falhas

descriptionRe: RaresHotel ~ HelioCMS V5 + PlusEmulator.

more_horiz
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum