Galerinha todo mundo sabe que o Gesior é uma bosta no quesito segurança e o XAMPP também tem suas falhas, porém muitos ainda utilizam o Gesior e o XAMP por diversos motivos, até mesmo por afinidade. Hoje eu vim aqui dar algumas dicas valiosas para que você possa tornar seu querido Gesior e seu XAMPP um pouco mais seguro.
 
1 - Se você utiliza XAMPP, siga os passos abaixo para tornar-lo mais seguro:

• Crie um senha relativamente boa e segura para o seu xampp/phpMyAdmin.
• Exclua completamente a pasta webdav.
• Vá até o seu phpMyAdmin > Privilégios e exclua o usuário pma.

Vá até a pasta phpMyadmin/config.inc.php e procure pela seguinte tag:

$cfg['blowfish_secret'] = 'xampp';

E mude a palava xampp por algo completamente sem sentido, exemplo:

$cfg['blowfish_secret'] = 'hsdewu1721has1au';

Ainda em config.inc.php e procure pela seguinte tag:

$cfg['Servers'][$i]['auth_type'] = 'config';

E mude-a para:

$cfg['Servers'][$i]['auth_type'] = 'cookie';

Agora vá até php/php.ini e procure pela seguinte tag:

Safe_mode = Off

Ative-o, deixando assim:

Safe_mode = On

Prontinho, seu XAMPP está bem mais seguro!
 
2 - Bom agora vamos ao Gesior, vá até o arquivo config/config.php e faça as edições nas seguintes tags:

$config['site']['access_news'] = 6; // access level needed to edit news
$config['site']['access_tickers'] = 6; // access level needed to edit tickers
$config['site']['access_admin_panel'] = 6; // access level needed to open admin panel

Mude todas para 6 para não termos problemas com invasões ao sistema de tickers, porém lembre de por page_acess 6 na sua account pelo phpMyAdmin para você administrar seu site.
 
3 - Vá até layouts/sua-skin/layout.php e procure a tag <body e substitua por essa:

<body onBeforeUnLoad="SaveMenu();" onUnload="SaveMenu();" oncontextmenu="return false" onselectstart="return false" ondragstart="return false">

Agora, logo abaixo da tag <body>, você adicionará o seguinte código:

<?php
{
$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql);
$sql = trim($sql);
$sql = strip_tags($sql);
$sql = addslashes($sql);
return $sql;
}
 
function protect($str)
{
if( !is_array($str) ) {
$str = preg_replace("/(from|select|insert|delete|where|drop table|show tables)/i","",$str);
$str = preg_replace('~&amp;#x([0-9a-f]+);~ei', 'chr(hexdec("\\1"))',$str);
$str = preg_replace('~&amp;#([0-9]+);~e', 'chr("\\1")',$str);
$str = str_replace("<script","",$str);
$str = str_replace("script>","",$str);
$str = str_replace("<Script","",$str);
$str = str_replace("Script>","",$str);
$str = trim($str);
$tbl = get_html_translation_table(HTML_ENTITIES);
$tbl = array_flip($tbl);
$str = addslashes($str);
$str = strip_tags($str);
return strtr($str,$tbl);
}
else return $str;
}
 
$nome = anti_injection($_POST["nome"]);
$senha = anti_injection($_POST["senha"]);
 
$link = htmlspecialchars($_POST['link'], ENT_QUOTES);
echo $link; 
 
header("Content-Type: text/html;  charset=ISO-8859-1",true)?>

Ainda em layout.php logo abaixo da tag <head>, você adicionará o seguinte código:

<script type="text/javascript">
function click() {
if (event.button==2||event.button==3) {
oncontextmenu='return false';
}
}
document.onmousedown=click
document.oncontextmenu = new Function("return false;")
</script>

Esses códigos te ajudarão a se previr contra SQL Injection, mas eu afirmo logo que isso não é 100% seguro.
 
4 - Vá até o arquivo guilds.php e localize a seguinte tag:

$guild_logo = $guild->getCustomField('logo_gfx_name'); if(empty($guild_logo) || !file_exists("guilds/".$guild_logo)) $guild_logo = "default_logo.gif"; 

Agora substitua por isso:

foreach (array("/", "\\", "..") as $char) {
    $guild_logo = str_replace($char, "", $guild->getCustomField('logo_gfx_name'));
}
if (empty($guild_logo) || !file_exists("guilds/".$guild_logo)) {
    $guild_logo = "default_logo.gif";
}  

Pronto, seu guilds.php está seguro agora.
 
5 - Exclua completamente o arquivo houses.php, ele é um arquivo muito inutilizado e ainda muito vulnerável, pessoas maliciosas podem conseguir ver sua config.lua através dele, portanto apenas exclua.
 
Pronto, por enquanto é só, se você tiver mais dicas para deixar o Gesior e o XAMPP mais seguro, poste nesse tópico que você com certeza estará ajudando muitas pessoas necessitadas!
 
Créditos:

• Matheus
• gpedro
• Red
• Stian

 

Você gostou deste conteúdo!? Este conteúdo te ajudou!? Isso será realmente útil pra você!?

Então, se possível, faça uma doação (de qualquer valor) que estará me ajudando também!

 

Muito, bom cara agora podemos ter um pouco mais de privacidade sem invasões rsrs'

Bom Tutorial Chaamps! (:

Eu particulamente não gosto de Gesior, mas o tutorial é bom Matheus.

Bom, só espero que funcione
Rep+

Erro fatal : não é possível redeclare anti_injection () (anteriormente declarados em C: \ xampp \ htdocs \ layouts \ tibiacom \ layout.php

Fiz alguma merda
kkkkkkkkkkk

 

 

 

Ata deixa pra la, o meu já tem o anti_injection kkkkkkkkkkkkkkkkkkkkkk

mals ai

Editado Julho 15, 2013 11 anos por 157kolosso (veja o histórico de edições)