|
You last visited: Today at 17:26
Advertisement
[Release] New Flyff Website
Discussion on [Release] New Flyff Website within the Flyff PServer Guides & Releases forum part of the Flyff Private Server category.
11/26/2016, 05:42
|
#61
|
elite*gold: 0
Join Date: Mar 2014
Posts: 243
Received Thanks: 11
|
what file contain this
<?php
require_once($_SERVER['DOCUMENT_ROOT'].'/Source/Includes/Config.php');
$controller = new News();
$object = $controller->GetTopicValues('http://forum.erendora.eu', 'http://37.59.4.34/forum/syndication.php?fid=10&limit=15');
if(!$object['bool']){
echo Validation::Alert2($object[0], $object[1]);
}else {
require_once($path . DEFAULT_TEMPLATE . 'Pages/News/Parts/NewsOutput.php');
}
how about this one..
|
|
|
11/27/2016, 16:13
|
#62
|
elite*gold: 130
Join Date: Sep 2008
Posts: 30
Received Thanks: 2
|
Got the same error as aoyamananami
please help
|
|
|
04/11/2017, 13:27
|
#63
|
elite*gold: 0
Join Date: Mar 2014
Posts: 305
Received Thanks: 19
|
Quote:
Originally Posted by aoyamananami
what file contain this
<?php
require_once($_SERVER['DOCUMENT_ROOT'].'/Source/Includes/Config.php');
$controller = new News();
$object = $controller->GetTopicValues('http://forum.erendora.eu', 'http://37.59.4.34/forum/syndication.php?fid=10&limit=15');
if(!$object['bool']){
echo Validation::Alert2($object[0], $object[1]);
}else {
require_once($path . DEFAULT_TEMPLATE . 'Pages/News/Parts/NewsOutput.php');
}
how about this one..
|
Help with this please..
Quote:
Originally Posted by xsrf
Hiermit Release ich die fertige Version meines Flyff CMS.
Examples:
Aqua Flyff - Sugbo Flyff -
Erendora Flyff -
Was bietet dieses:
- saubere Ordnerstruktur
- dynamisches Nachladen durch Ajax
- gesichertes Backendpanel
- Website + Ingameaccount Funktion
- Recover Ingame account (to website account) - für existierende Server
- Itemshop für Sockets und auch ohne (Funktion muss reakitviert werden)
- SQL Injection, XSS und CSRF Fixed
- many more...
- Dieser Muss im AdminCP sowie in der normalen Webseite eingefügt werden. (Templates/Erendora/Assets/...)
Für zusätzliche Funktionen einfach die gewünschte Funktion in diesen Thread schreiben oder mir in Skype schreiben. Updates folgen also konstant.
Skype: peachu.dev
WICHTIG
Damit ihr dieses CMS nutzen könnt müsst ihr die ITEM_DBF aktivieren.
Wer das direkte versenden des Items möchte muss den Port 29000 freischalten und Sedrikas Funktionen in der Source adden.
Alternativ kann dies auch mit der ITEM_SEND_TBL geschehen, dann wird das nicht mehr benötigt. Die ITEM_SEND_TBL Funktion muss im Itemshop Controller wider aktivitert werden (aktuell auskommentiert) und die socket funktion (aktuell von sedrika) auskommentiert werden.
Hier zum Tutorial von Sedrika:
|
Re-upload image folder please thank you !
|
|
|
04/30/2017, 16:14
|
#64
|
elite*gold: 240
Join Date: Aug 2010
Posts: 127
Received Thanks: 25
|
Quote:
Originally Posted by yazuka21
Help with this please..
[...]
Re-upload image folder please thank you !
|
You can find these files (and associated files, too) here:
...\Templates\Erendora\Pages\News\Ajax\
...\Templates\Erendora\Pages\News\Overview.php
...\Source\Controller\News.Controller.php
Download links for the image folder:
|
|
|
05/01/2017, 10:17
|
#65
|
elite*gold: 0
Join Date: Mar 2014
Posts: 305
Received Thanks: 19
|
Quote:
Originally Posted by Irithyll
You can find these files (and associated files, too) here:
...\Templates\Erendora\Pages\News\Ajax\
...\Templates\Erendora\Pages\News\Overview.php
...\Source\Controller\News.Controller.php
Download links for the image folder:
|
Hello sir thank you for Images folder..
can you help me set this website to live ?
Thanks again.
|
|
|
05/10/2017, 19:53
|
#66
|
elite*gold: 0
Join Date: May 2017
Posts: 44
Received Thanks: 19
|
Just put it on your root server and config it on your database
download sql2012 and restore the databases then look for config.
|
|
|
05/14/2017, 09:35
|
#67
|
elite*gold: 0
Join Date: Mar 2014
Posts: 305
Received Thanks: 19
|
Quote:
Originally Posted by xRageee
Just put it on your root server and config it on your database
download sql2012 and restore the databases then look for config.
|
Help me please.....
|
|
|
05/15/2017, 11:29
|
#68
|
elite*gold: 0
Join Date: Sep 2013
Posts: 5
Received Thanks: 0
|
what php version needed?
how can i fix this, any help would be appreciated thanks!
PS. I have extracted the img folder inside assets folder in main and admin, but still the same problem
|
|
|
05/15/2017, 19:32
|
#69
|
elite*gold: 0
Join Date: Jul 2015
Posts: 181
Received Thanks: 199
|
Judging by the site title in the screenshot, it seems you do not have short_open_tags set to on via php.ini.
|
|
|
06/25/2017, 02:43
|
#70
|
elite*gold: 32
Join Date: Dec 2015
Posts: 2,275
Received Thanks: 1,113
|
Quote:
SQL Injection, XSS und CSRF Fixed
|
Sicher bro?
Nehmen wir mal:
Code:
$object = $controller->InsertComment($_POST, $_SESSION);
Code:
self::Insert(array('ticketid' => intval($post['ticketid']), 'author' => $session['user'], 'comment' => $post['commenttext'], 'date' => time(), 'authority' => $session['authority']), 'Website', 'SupportComment');
Picken wir uns mal $post['commenttext'] heraus:
Du versuchst jeden String zu sichern indem du das machst:
Code:
self::ObjectSecure($mixedInput)
Code:
private function ObjectSecure($object){
if(is_array($object)){
foreach($object as $key => $value){
if(gettype($value) != 'integer'){
if(substr($value, 0, 2) !== '0x'){
$object[$key] = self::Encrypt($value);
}else {
$object[$key] = '\''.self::Decrypt($value).'\'';
}
}
}
}/**else {
if(gettype($object) != 'integer'){
$object = self::Encrypt($object);
}
}*/
return $object;
}
Wenn $post['commenttext'] = 'ich bin ein friedlicher text'; ist dann wird er zu Hexadezimalcode konvertiert.
bei 'ich bin böse';shutdown;-- liest MSSQL es als string und somit ist der String nicht weiterhin schlimm. Das ist gut
Aber wenn wir $post['commenttext'] = 0x273b73687574646f776e3b2d2d benutzen greift deine Decrypt funktion und wir haben den befehl shutdown durchbekommen.
|
|
|
07/01/2017, 13:14
|
#71
|
elite*gold: 0
Join Date: May 2012
Posts: 870
Received Thanks: 642
|
Quote:
Originally Posted by FlyffServices
Sicher bro?
Nehmen wir mal:
Code:
$object = $controller->InsertComment($_POST, $_SESSION);
Code:
self::Insert(array('ticketid' => intval($post['ticketid']), 'author' => $session['user'], 'comment' => $post['commenttext'], 'date' => time(), 'authority' => $session['authority']), 'Website', 'SupportComment');
Picken wir uns mal $post['commenttext'] heraus:
Du versuchst jeden String zu sichern indem du das machst:
Code:
self::ObjectSecure($mixedInput)
Code:
private function ObjectSecure($object){
if(is_array($object)){
foreach($object as $key => $value){
if(gettype($value) != 'integer'){
if(substr($value, 0, 2) !== '0x'){
$object[$key] = self::Encrypt($value);
}else {
$object[$key] = '\''.self::Decrypt($value).'\'';
}
}
}
}/**else {
if(gettype($object) != 'integer'){
$object = self::Encrypt($object);
}
}*/
return $object;
}
Wenn $post['commenttext'] = 'ich bin ein friedlicher text'; ist dann wird er zu Hexadezimalcode konvertiert.
bei 'ich bin böse';shutdown;-- liest MSSQL es als string und somit ist der String nicht weiterhin schlimm. Das ist gut
Aber wenn wir $post['commenttext'] = 0x273b73687574646f776e3b2d2d benutzen greift deine Decrypt funktion und wir haben den befehl shutdown durchbekommen.
|
Da hast du wohl recht, habe mich damals auf Sedrikas Wort verlassen, dass eine Konvertierung zu Hex ausreicht
|
|
|
07/01/2017, 15:24
|
#72
|
elite*gold: 32
Join Date: Dec 2015
Posts: 2,275
Received Thanks: 1,113
|
Quote:
Originally Posted by xsrf
Da hast du wohl recht, habe mich damals auf Sedrikas Wort verlassen, dass eine Konvertierung zu Hex ausreicht
|
Eine Konvertierung zu Hex ist ausreichend da MSSQL solches nur als String liest und so keinerlei möglichkeit besteht schädlichen Code hinzuzufügen .
Problem hier ist aber das du das ganze genauso Decrypten tust. Es gibt aber kein Szenario indem du Hex code wieder zurückwandeln müsstest um ihn als Query auszuführen. Einfach das Decrypt rausnehmen und es ist sicher :P
|
|
|
09/05/2017, 00:07
|
#73
|
elite*gold: 0
Join Date: Nov 2009
Posts: 22
Received Thanks: 1
|
Hello the link of the img is down anyone can upload for me please?
|
|
|
09/06/2017, 01:26
|
#74
|
elite*gold: 0
Join Date: Jan 2009
Posts: 1,739
Received Thanks: 1,669
|
Quote:
Originally Posted by FlyffServices
Eine Konvertierung zu Hex ist ausreichend da MSSQL solches nur als String liest und so keinerlei möglichkeit besteht schädlichen Code hinzuzufügen .
Problem hier ist aber das du das ganze genauso Decrypten tust. Es gibt aber kein Szenario indem du Hex code wieder zurückwandeln müsstest um ihn als Query auszuführen. Einfach das Decrypt rausnehmen und es ist sicher :P
|
Ist zwar schon ein älterer Post, aber... Prepared Queries mit Parameter Binding ist da wohl die sicherste Methode.
|
|
|
09/07/2017, 12:33
|
#75
|
elite*gold: 0
Join Date: May 2012
Posts: 870
Received Thanks: 642
|
#Update
- AllInOne Downloadlink add ( Download v2 AiO )
- Image Directory added
All known issues are fixxed in this version of the website. I release it in case i don't need it anymore and last time i sold it was about a half a year.
|
|
|
All times are GMT +2. The time now is 17:26.
|
|