歡迎光臨, 訪客. 請先 登入註冊一個帳號.
十一月 23, 2024, 03:58:03 上午
19595 文章 在 3865 主題 由 4579 會員
最新註冊會員: aa123aa1
LifeType 中文開發論壇  |  支援  |  使用與操作  |  關於自定義模板一個疑問 « 上篇主題 下篇主題 »
頁: [1] 2
作者 主題: 關於自定義模板一個疑問  (閱讀 29356 次)
flyinghail
新手見習
*
文章: 22


檢視個人資料
« 於: 三月 25, 2005, 10:16:02 下午 »

如果我在模板壓縮包裏放一個php木馬,難道plog也會自動解出來麽?那樣豈不是很危險?有米有人測試過?
已記錄
markwu
系統管理員
超級會員
*****
文章: 3928


Mark Wu


檢視個人資料 個人網站
« 回覆文章 #1 於: 三月 26, 2005, 11:28:30 上午 »

1. 基本上如果是在 模版 中 include php,這個已經關掉了!

2. 但是如果在上傳新的模版主題時夾雜php,這個檔案的確可以單獨執行。mmm ... 應該用 .htaccess 把 .php, .phtml .php3 .php4 等檔案執行的功能關掉。謝謝提醒。

** 我在 windows 下放一個 phpinfo.php 在 standard 的模版目錄中,的確可以執行。有人可以試試在 linux 下可以嗎?

Mark
已記錄

flyinghail
新手見習
*
文章: 22


檢視個人資料
« 回覆文章 #2 於: 三月 26, 2005, 05:36:10 下午 »

自定義模板是自己上傳一個壓縮檔,系統自動解壓縮到template\plog_{用戶ID}\壓縮檔裏面的文件夾下面....這樣的話可否在系統建立文件夾的時候就自動添加.htaccess(還要注意如果用戶自己在壓縮包裏包含.htaccess的問題)
或者解壓縮后檢查如果有非法文件自動刪掉...
如果這樣問題不解決的話怎麽敢開放用戶自定義模板涅~
另外可以看看www.5blog.com那種修改模版的形式有沒有什麽值得借鑑的呢.... 吐舌頭
已記錄
lss
我不是被~拉~~出來的,不要叫我大大!
總版主
超級會員
*****
文章: 1511



檢視個人資料 個人網站
« 回覆文章 #3 於: 三月 26, 2005, 11:50:57 下午 »

我也試了一下,在 linux 主機下,一樣可以執行 templates 目錄下的 php 程式。
我在 blueish 底下試的, phpinfo 可以被正確的執行。
然後,我在 templates/ 底下建了一個 .htaccess ,內容如下:
程式碼:
<files *.php>
deny from all
</files>

然後就搞定了。目前看不到什麼後遺症。
已記錄

沒找過 常見問題集或不知道 如何在 LifeType 中文開發論壇發問的人,恕不回答問題
flyinghail
新手見習
*
文章: 22


檢視個人資料
« 回覆文章 #4 於: 三月 27, 2005, 12:28:29 上午 »

引用自: lss
我也試了一下,在 linux 主機下,一樣可以執行 templates 目錄下的 php 程式。
我在 blueish 底下試的, phpinfo 可以被正確的執行。
然後,我在 templates/ 底下建了一個 .htaccess ,內容如下:
程式碼:
<files *.php>
deny from all
</files>

然後就搞定了。目前看不到什麼後遺症。

如果我在壓縮包裏面也添加一個.htaccess,裏面什麽都不寫....這樣會怎麽樣呢?
已記錄
lss
我不是被~拉~~出來的,不要叫我大大!
總版主
超級會員
*****
文章: 1511



檢視個人資料 個人網站
« 回覆文章 #5 於: 三月 27, 2005, 08:25:30 下午 »

引用自: flyinghail

如果我在壓縮包裏面也添加一個.htaccess,裏面什麽都不寫....這樣會怎麽樣呢?

如果裡面什麼都不寫,那表示繼續用上層 .htaccess 的設定,那就沒什麼問題。怕就怕它會亂寫什麼在裡面,准許執行某些程式,甚至副檔名可以不必是 .php ……
 不要告訴別人
愈想愈可怕。
難道要搞個官方模版認證機制?!…真要這樣,會不會變的封閉了?
已記錄

沒找過 常見問題集或不知道 如何在 LifeType 中文開發論壇發問的人,恕不回答問題
flyinghail
新手見習
*
文章: 22


檢視個人資料
« 回覆文章 #6 於: 三月 28, 2005, 09:09:06 上午 »

引用自: lss
如果裡面什麼都不寫,那表示繼續用上層 .htaccess 的設定,那就沒什麼問題。怕就怕它會亂寫什麼在裡面,准許執行某些程式,甚至副檔名可以不必是 .php ……
 不要告訴別人
愈想愈可怕。
難道要搞個官方模版認證機制?!…真要這樣,會不會變的封閉了?

是啊是啊~我就是這個意思....是不是官方要注意一下這個問題~很嚴重的呢
已記錄
markwu
系統管理員
超級會員
*****
文章: 3928


Mark Wu


檢視個人資料 個人網站
« 回覆文章 #7 於: 三月 28, 2005, 09:16:54 上午 »

看樣子唯一的方式是解開 .tar.gz 後先刪除

.php, .phtml, .php3, .htaccess 然後再安裝。要不然,無解。

template editor 我已經防範了這個問題。但是 core 當中新增模版的部分一定沒有。

flyinghail,能請你幫個嗎?到  bugs.lifetype.net 報告這個 bug。程度為『嚴重』。

Mark
已記錄

flyinghail
新手見習
*
文章: 22


檢視個人資料
« 回覆文章 #8 於: 三月 28, 2005, 09:23:03 上午 »

引用自: markwu
看樣子唯一的方式是解開 .tar.gz 後先刪除

.php, .phtml, .php3, .htaccess 然後再安裝。要不然,無解。

template editor 我已經防範了這個問題。但是 core 當中新增模版的部分一定沒有。

flyinghail,能請你幫個嗎?到  bugs.lifetype.net 報告這個 bug。程度為『嚴重』。

Mark

偶英文水平不佳呢 害羞 不知道該怎麽用英文說清楚涅 疑惑
已記錄
markwu
系統管理員
超級會員
*****
文章: 3928


Mark Wu


檢視個人資料 個人網站
« 回覆文章 #9 於: 三月 28, 2005, 09:35:31 上午 »

幫你 report 了。

Mark
已記錄

flyinghail
新手見習
*
文章: 22


檢視個人資料
« 回覆文章 #10 於: 三月 28, 2005, 09:38:19 上午 »

引用自: markwu
幫你 report 了。

Mark

麻煩你了~ 吐舌頭
已記錄
flyinghail
新手見習
*
文章: 22


檢視個人資料
« 回覆文章 #11 於: 三月 29, 2005, 01:01:57 下午 »

引用自: oscar
has this been tested to work?

In class/template/templatesandbox.class.php (which is called a "template sandbox" for obvious reasons 微笑), there is a method called checkTemplateFolder() which will check if any file with one of the forbidden extensions can be found in the template folder.

The list of forbidden files is controlled via the 'upload_forbidden_files' setting under administration->upload_forbidden_files

I'm assiging this to you mark, could you confirm whether it works or not? If it does, please reassign it back to me and I'll see what I can do.

看到的回復....接下來該怎麽做涅 疑惑
已記錄
james
LifeType 中文發展團隊
超級會員
*****
文章: 823


哼!!你不說,誰會知道你做過那些修改呢!? (丟滑鼠~~)


檢視個人資料 個人網站
« 回覆文章 #12 於: 三月 29, 2005, 09:27:42 下午 »

我試著把一個php檔案包到一個模版壓縮檔中(我用mtplog.tar.gz試驗)
發現果真如oscar所說的,是無法上傳模版的。

看來checkTemplateFolder() 是有動作的。
應該在"禁止上傳檔案"處設定好,就不會有太大問題的。

不過我好奇的是,mark和lss是怎麼把php檔夾帶上傳成功呢?
該不會是直接用管理者的權限把檔案傳到模版目錄下呢? 吐舌頭

嘿~不可以這樣喔 ^^ 微笑
已記錄

記得發問前,先使用搜尋功能找找看有沒相關的解答。
如果找不到,請依照如何在LifeType論壇發問來提問喔。
lss
我不是被~拉~~出來的,不要叫我大大!
總版主
超級會員
*****
文章: 1511



檢視個人資料 個人網站
« 回覆文章 #13 於: 三月 29, 2005, 09:32:43 下午 »

引用自: james

不過我好奇的是,mark和lss是怎麼把php檔夾帶上傳成功呢?
該不會是直接用管理者的權限把檔案傳到模版目錄下呢? 吐舌頭

嘿~不可以這樣喔 ^^ 微笑

 吐舌頭
不對,我不是用管理者權限把檔案上傳至模版目錄下,而是在該目錄下用 vi 直接建檔。
哈!考慮不周 害羞
已記錄

沒找過 常見問題集或不知道 如何在 LifeType 中文開發論壇發問的人,恕不回答問題
james
LifeType 中文發展團隊
超級會員
*****
文章: 823


哼!!你不說,誰會知道你做過那些修改呢!? (丟滑鼠~~)


檢視個人資料 個人網站
« 回覆文章 #14 於: 三月 29, 2005, 09:45:06 下午 »

剛才又檢查了一次,只要在

"全部站台管控"->"全域設定"->"上傳設定"->"upload_forbidden_files"裡面

設成

*.php *.php3 *.php4 *.phtml *.htm *.html *.exe *.com *.bat .htaccess

這樣只要模版壓縮檔裡面含有 上面任何一種類型的檔案,通通無法上傳。

目前唯一的缺點是,那個錯誤訊息可能要改一下  害羞 當時翻的不好.
現在的訊息是"在這個模版設置中有些檔案禁止存取。"
我想改翻成"在這個模版設置中,包含了禁止上傳的檔案類型。"  微笑
會在4/1前,最後在submit到bugs中,把一些翻的不太順的語句在修飾一下。 開懷大笑
已記錄

記得發問前,先使用搜尋功能找找看有沒相關的解答。
如果找不到,請依照如何在LifeType論壇發問來提問喔。
頁: [1] 2
LifeType 中文開發論壇  |  支援  |  使用與操作  |  關於自定義模板一個疑問 « 上篇主題 下篇主題 »
    前往: