[Release] New Flyff Website

[aoyamananami]

what file contain this

 Spoiler

<?php
require_once($_SERVER['DOCUMENT_ROOT'].'/Source/Includes/Config.php');
$controller = new News();
$object = $controller->GetTopicValues('http://forum.erendora.eu', 'http://37.59.4.34/forum/syndication.php?fid=10&limit=15');
if(!$object['bool']){
echo Validation::Alert2($object[0], $object[1]);
}else {
require_once($path . DEFAULT_TEMPLATE . 'Pages/News/Parts/NewsOutput.php');
}

how about this one..

[ImEno]

Got the same error as aoyamananami
please help

[yazuka21]

Quote:

Originally Posted by aoyamananami

what file contain this

 Spoiler

<?php
require_once($_SERVER['DOCUMENT_ROOT'].'/Source/Includes/Config.php');
$controller = new News();
$object = $controller->GetTopicValues('http://forum.erendora.eu', 'http://37.59.4.34/forum/syndication.php?fid=10&limit=15');
if(!$object['bool']){
echo Validation::Alert2($object[0], $object[1]);
}else {
require_once($path . DEFAULT_TEMPLATE . 'Pages/News/Parts/NewsOutput.php');
}

how about this one..

Help with this please..

Quote:

Originally Posted by xsrf

Hiermit Release ich die fertige Version meines Flyff CMS.

Examples:

Aqua Flyff -
Sugbo Flyff -
Erendora Flyff -

Was bietet dieses:

• saubere Ordnerstruktur
• dynamisches Nachladen durch Ajax
• gesichertes Backendpanel
• Website + Ingameaccount Funktion
• Recover Ingame account (to website account) - für existierende Server
• Itemshop für Sockets und auch ohne (Funktion muss reakitviert werden)
• SQL Injection, XSS und CSRF Fixed
• many more...

- Dieser Muss im AdminCP sowie in der normalen Webseite eingefügt werden. (Templates/Erendora/Assets/...)






Für zusätzliche Funktionen einfach die gewünschte Funktion in diesen Thread schreiben oder mir in Skype schreiben. Updates folgen also konstant.

Skype: peachu.dev

WICHTIG

Damit ihr dieses CMS nutzen könnt müsst ihr die ITEM_DBF aktivieren.

Wer das direkte versenden des Items möchte muss den Port 29000 freischalten und Sedrikas Funktionen in der Source adden.

Alternativ kann dies auch mit der ITEM_SEND_TBL geschehen, dann wird das nicht mehr benötigt. Die ITEM_SEND_TBL Funktion muss im Itemshop Controller wider aktivitert werden (aktuell auskommentiert) und die socket funktion (aktuell von sedrika) auskommentiert werden.

Hier zum Tutorial von Sedrika:

Re-upload image folder please thank you !

[Psychosadistic]

Quote:

Originally Posted by yazuka21

Help with this please..

[...]

Re-upload image folder please thank you !

You can find these files (and associated files, too) here:

...\Templates\Erendora\Pages\News\Ajax\



...\Templates\Erendora\Pages\News\Overview.php
...\Source\Controller\News.Controller.php

Download links for the image folder:

[yazuka21]

Quote:

Originally Posted by Irithyll

You can find these files (and associated files, too) here:

...\Templates\Erendora\Pages\News\Ajax\



...\Templates\Erendora\Pages\News\Overview.php
...\Source\Controller\News.Controller.php

Download links for the image folder:

Hello sir thank you for Images folder..

can you help me set this website to live ?

Thanks again.

[xRageee]

Just put it on your root server and config it on your database

download sql2012 and restore the databases then look for config.

[yazuka21]

Quote:

Originally Posted by xRageee

Just put it on your root server and config it on your database

download sql2012 and restore the databases then look for config.

Help me please.....

[johphilxxx]

what php version needed?
how can i fix this, any help would be appreciated thanks!

PS. I have extracted the img folder inside assets folder in main and admin, but still the same problem

[KetchupSamurai]

Judging by the site title in the screenshot, it seems you do not have short_open_tags set to on via php.ini.

[FlyffServices]

Quote:

SQL Injection, XSS und CSRF Fixed

Sicher bro?

Nehmen wir mal:

Code:

$object = $controller->InsertComment($_POST, $_SESSION);

Code:

self::Insert(array('ticketid' => intval($post['ticketid']), 'author' => $session['user'], 'comment' => $post['commenttext'], 'date' => time(), 'authority' => $session['authority']), 'Website', 'SupportComment');

Picken wir uns mal $post['commenttext'] heraus:

Du versuchst jeden String zu sichern indem du das machst:

Code:

self::ObjectSecure($mixedInput)

Code:

    private function ObjectSecure($object){
        if(is_array($object)){
            foreach($object as $key => $value){
                if(gettype($value) != 'integer'){
                    if(substr($value, 0, 2) !== '0x'){
                        $object[$key] = self::Encrypt($value);
                    }else {
                        $object[$key] = '\''.self::Decrypt($value).'\'';
                    }
                }
            }
        }/**else {
            if(gettype($object) != 'integer'){
                $object = self::Encrypt($object);
            }
        }*/
        return $object;
    }

Wenn $post['commenttext'] = 'ich bin ein friedlicher text'; ist dann wird er zu Hexadezimalcode konvertiert.
bei 'ich bin böse';shutdown;-- liest MSSQL es als string und somit ist der String nicht weiterhin schlimm. Das ist gut

Aber wenn wir $post['commenttext'] = 0x273b73687574646f776e3b2d2d benutzen greift deine Decrypt funktion und wir haben den befehl shutdown durchbekommen.

[xsrf]

Quote:

Originally Posted by FlyffServices

Sicher bro?

Nehmen wir mal:

Code:

$object = $controller->InsertComment($_POST, $_SESSION);

Code:

self::Insert(array('ticketid' => intval($post['ticketid']), 'author' => $session['user'], 'comment' => $post['commenttext'], 'date' => time(), 'authority' => $session['authority']), 'Website', 'SupportComment');

Picken wir uns mal $post['commenttext'] heraus:

Du versuchst jeden String zu sichern indem du das machst:

Code:

self::ObjectSecure($mixedInput)

Code:

    private function ObjectSecure($object){
        if(is_array($object)){
            foreach($object as $key => $value){
                if(gettype($value) != 'integer'){
                    if(substr($value, 0, 2) !== '0x'){
                        $object[$key] = self::Encrypt($value);
                    }else {
                        $object[$key] = '\''.self::Decrypt($value).'\'';
                    }
                }
            }
        }/**else {
            if(gettype($object) != 'integer'){
                $object = self::Encrypt($object);
            }
        }*/
        return $object;
    }

Wenn $post['commenttext'] = 'ich bin ein friedlicher text'; ist dann wird er zu Hexadezimalcode konvertiert.
bei 'ich bin böse';shutdown;-- liest MSSQL es als string und somit ist der String nicht weiterhin schlimm. Das ist gut

Aber wenn wir $post['commenttext'] = 0x273b73687574646f776e3b2d2d benutzen greift deine Decrypt funktion und wir haben den befehl shutdown durchbekommen.

Da hast du wohl recht, habe mich damals auf Sedrikas Wort verlassen, dass eine Konvertierung zu Hex ausreicht

[FlyffServices]

Quote:

Originally Posted by xsrf

Da hast du wohl recht, habe mich damals auf Sedrikas Wort verlassen, dass eine Konvertierung zu Hex ausreicht

Eine Konvertierung zu Hex ist ausreichend da MSSQL solches nur als String liest und so keinerlei möglichkeit besteht schädlichen Code hinzuzufügen .
Problem hier ist aber das du das ganze genauso Decrypten tust. Es gibt aber kein Szenario indem du Hex code wieder zurückwandeln müsstest um ihn als Query auszuführen. Einfach das Decrypt rausnehmen und es ist sicher :P

[EliasDragon]

Hello the link of the img is down anyone can upload for me please?

[xTwiLightx]

Quote:

Originally Posted by FlyffServices

Eine Konvertierung zu Hex ist ausreichend da MSSQL solches nur als String liest und so keinerlei möglichkeit besteht schädlichen Code hinzuzufügen .
Problem hier ist aber das du das ganze genauso Decrypten tust. Es gibt aber kein Szenario indem du Hex code wieder zurückwandeln müsstest um ihn als Query auszuführen. Einfach das Decrypt rausnehmen und es ist sicher :P

Ist zwar schon ein älterer Post, aber... Prepared Queries mit Parameter Binding ist da wohl die sicherste Methode.

[xsrf]

#Update

- AllInOne Downloadlink add ( Download v2 AiO )
- Image Directory added

All known issues are fixxed in this version of the website. I release it in case i don't need it anymore and last time i sold it was about a half a year.