[RC] eXtra Protection 1.0.0

Vladson · Сообщение **Vladson** » 10.03.2005 1:56

Уверен что я не первый кто этот мод сделал, но я не искал потаму что решил сделать сам, кому надо пользуйтесь
(в паре со сложным админским паролем это непробиваемая броня для XSS атак)

Код: Выделить всё

##############################################################
## MOD Title: eXtra Protection
## MOD Author: Vladson < vladson@heatpc.com > (n/a) http://phpbbguru.net/
## MOD Description: Passworded Administration Panel
## MOD Version: 1.0.0
##
## Installation Level:	(Easy)
## Installation Time:	~1 Minutes
## Files To Edit(1): 	admin/pagestart.php
## Included Files: (n/a)
##############################################################
## For Security Purposes, Please Check: http://phpbbguru.net/mods/ for the
## latest version of this MOD. Downloading this MOD from other sites could cause malicious code
## to enter into your phpBB Forum. As such, phpBB will not offer support for MOD's not offered
## in our MOD-Database, located at: http://phpbbguru.net/mods/
##############################################################
## Author Notes:
##
##	Not my idea, but i like it. :)
##
##############################################################
## MOD History:
##
##   2005-03-10 - Version 1.0.0
##      - First one
##
##############################################################
## Before Adding This MOD To Your Forum, You Should Back Up All Files Related To This MOD
##############################################################

#
#-----[ OPEN ]------------------------------------------
#
admin/pagestart.php

#
#-----[ FIND ]------------------------------------------
#
//
// End session management
//

#
#-----[ AFTER, ADD ]------------------------------------------
#
if ( $HTTP_SERVER_VARS['PHP_AUTH_USER'] !== $userdata['username'] || md5($HTTP_SERVER_VARS['PHP_AUTH_PW']) !== $userdata['user_password'] )
{
	header('WWW-Authenticate: Basic realm="My Realm"');
	header('HTTP/1.0 401 Unauthorized');
	die("Hacking attempt");
}

#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM

Егор Наклоняев · 10.03.2005 2:20

Так... Садитесь, три...
Это работать будет, но только если PHP не установлено как CGI. В остальных случаях... (мерзко хихикает)

Внимательно посмотрите код RSS Feed, точнее функций для неё и что надо в .htaccess прописать.
Вся идентификация в моём моде написана кровью. Гы.

Поэтому, если не хотите заморачиваться, просто проверьте наличие функции getallheaders перед тем как пользователя не пускать...

Vladson · Сообщение **Vladson** » 10.03.2005 4:33

Так... Садитесь, три...
Это работать будет, но только

В моём случае работает только в путь, минимум на четвёрку

А дорабатывать конечно буду со временем

Только вот не все могут .htaccess править, и позднее я просто собираюсь направлять на страничку с логином (как в IPB но просто я не дошёл пока до этого, надо было срочно что-то делать, так как securitylab читают много ламеров интузиастов, а там чё-то попёрло много инфы про phpBB)

Можно в случае неуверенности сделать так...

Код: Выделить всё

if (function_exists('getallheaders'))
{
	if ( $HTTP_SERVER_VARS['PHP_AUTH_USER'] !== $userdata['username'] || md5($HTTP_SERVER_VARS['PHP_AUTH_PW']) !== $userdata['user_password'] )
	{
		header('WWW-Authenticate: Basic realm="My Realm"');
		header('HTTP/1.0 401 Unauthorized');
		die("Hacking attempt");
	}
}

Правда тут тоже свои подводные камни есть

OMus-VeNuS · Сообщение **OMus-VeNuS** » 13.11.2005 22:30

у меня не работает... Может потому что у меня ник
~ & § OM § & ~ ?