[Tutorial] Protegendo seu Gesior e XAMPP!

Postado Abril 11, 2016 9 anos

Meu banco de dados do meu otserv sumiu.

Está funcionando a criação de char no site normal, e os players consegue logar.

Acredito que nao tenha sido deletada, porém acho que esta oculta...

E verifiquei que estou sem privilégios..

information_schema

So tem isso no meu phpadmin help plx

Citar

Mention

4 months later...

Respostas 18
Visualizações 42.8k
Created 11 anos11 anos
Última resposta 2 anos2 anos

Popular Days

Postado Agosto 22, 2016 8 anos

Depois que fiz esse procedimento de apagar o usuario pma deu este erro na minha database phpmyadmin

consulta SQL:

SELECT `comment`
FROM `phpmyadmin`.`pma_column_info`
WHERE db_name = 'xxxxx'
AND table_name = ''
AND column_name = '(db_comment)'

Mensagens do MySQL :

#1142 - SELECT command denied to user ''@'localhost' for table 'pma_column_info'

Tem alguma mandeira de eu criar este pma colum info de volta?

Preciso da ajuda para arrumar isso, obrigado Abraços!

@Edite

Lá em baixo tem uma mensagem dizendo o seguinte!

Nota: O phpMyAdmin recebe os privilégios dos usuário diretamente da tabela de privilégios do MySQL. O conteúdo destas tabelas pode divergir dos privilégios que o servidor usa se alterações manuais forem feitas nele. Neste caso, você deve usar RELOAD PRIVILEGES antes de continuar..

Editado Agosto 24, 2016 8 anos por Digoshow (veja o histórico de edições)

Citar

Mention

6 months later...

Postado Março 7, 2017 8 anos

Quando ligo o safe_mode=On no xampp mais recente acaba crashando o apache

Citar

[Tue Mar 07 10:55:05.626725 2017] [ssl:warn] [pid 11944:tid 608] AH01909: www.example.com:443:0 server certificate does NOT include an ID which matches the server name
[Tue Mar 07 10:55:05.728054 2017] [core:warn] [pid 11944:tid 608] AH00098: pid file C:/xampp/apache/logs/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
[Tue Mar 07 10:55:05.819616 2017] [ssl:warn] [pid 11944:tid 608] AH01909: www.example.com:443:0 server certificate does NOT include an ID which matches the server name

Citar

Mention

5 years later...

Postado Dezembro 4, 2022 2 anos

Em 15/07/2013 em 04:12, Erimyth disse:
Galerinha todo mundo sabe que o Gesior é uma bosta no quesito segurança e o XAMPP também tem suas falhas, porém muitos ainda utilizam o Gesior e o XAMP por diversos motivos, até mesmo por afinidade. Hoje eu vim aqui dar algumas dicas valiosas para que você possa tornar seu querido Gesior e seu XAMPP um pouco mais seguro.

1 - Se você utiliza XAMPP, siga os passos abaixo para tornar-lo mais seguro:

Crie um senha relativamente boa e segura para o seu xampp/phpMyAdmin.

Exclua completamente a pasta webdav.

Vá até o seu phpMyAdmin > Privilégios e exclua o usuário pma.

Vá até a pasta phpMyadmin/config.inc.php e procure pela seguinte tag:
$cfg['blowfish_secret'] = 'xampp';
E mude a palava xampp por algo completamente sem sentido, exemplo:
$cfg['blowfish_secret'] = 'hsdewu1721has1au';
Ainda em config.inc.php e procure pela seguinte tag:
$cfg['Servers'][$i]['auth_type'] = 'config';
E mude-a para:
$cfg['Servers'][$i]['auth_type'] = 'cookie';
Agora vá até php/php.ini e procure pela seguinte tag:
Safe_mode = Off
Ative-o, deixando assim:
Safe_mode = On
Prontinho, seu XAMPP está bem mais seguro!

2 - Bom agora vamos ao Gesior, vá até o arquivo config/config.php e faça as edições nas seguintes tags:
$config['site']['access_news'] = 6; // access level needed to edit news
$config['site']['access_tickers'] = 6; // access level needed to edit tickers
$config['site']['access_admin_panel'] = 6; // access level needed to open admin panel
Mude todas para 6 para não termos problemas com invasões ao sistema de tickers, porém lembre de por page_acess 6 na sua account pelo phpMyAdmin para você administrar seu site.

3 - Vá até layouts/sua-skin/layout.php e procure a tag <body e substitua por essa:
<body onBeforeUnLoad="SaveMenu();" onUnload="SaveMenu();" oncontextmenu="return false" onselectstart="return false" ondragstart="return false">
Agora, logo abaixo da tag <body>, você adicionará o seguinte código:
<?php
{
$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql);
$sql = trim($sql);
$sql = strip_tags($sql);
$sql = addslashes($sql);
return $sql;
}
 
function protect($str)
{
if( !is_array($str) ) {
$str = preg_replace("/(from|select|insert|delete|where|drop table|show tables)/i","",$str);
$str = preg_replace('~&amp;#x([0-9a-f]+);~ei', 'chr(hexdec("\\1"))',$str);
$str = preg_replace('~&amp;#([0-9]+);~e', 'chr("\\1")',$str);
$str = str_replace("<script","",$str);
$str = str_replace("script>","",$str);
$str = str_replace("<Script","",$str);
$str = str_replace("Script>","",$str);
$str = trim($str);
$tbl = get_html_translation_table(HTML_ENTITIES);
$tbl = array_flip($tbl);
$str = addslashes($str);
$str = strip_tags($str);
return strtr($str,$tbl);
}
else return $str;
}
 
$nome = anti_injection($_POST["nome"]);
$senha = anti_injection($_POST["senha"]);
 
$link = htmlspecialchars($_POST['link'], ENT_QUOTES);
echo $link; 
 
header("Content-Type: text/html;  charset=ISO-8859-1",true)?>
Ainda em layout.php logo abaixo da tag <head>, você adicionará o seguinte código:
<script type="text/javascript">
function click() {
if (event.button==2||event.button==3) {
oncontextmenu='return false';
}
}
document.onmousedown=click
document.oncontextmenu = new Function("return false;")
</script>
Esses códigos te ajudarão a se previr contra SQL Injection, mas eu afirmo logo que isso não é 100% seguro.

4 - Vá até o arquivo guilds.php e localize a seguinte tag:
$guild_logo = $guild->getCustomField('logo_gfx_name'); if(empty($guild_logo) || !file_exists("guilds/".$guild_logo)) $guild_logo = "default_logo.gif"; 
Agora substitua por isso:
foreach (array("/", "\\", "..") as $char) {
    $guild_logo = str_replace($char, "", $guild->getCustomField('logo_gfx_name'));
}
if (empty($guild_logo) || !file_exists("guilds/".$guild_logo)) {
    $guild_logo = "default_logo.gif";
}  
Pronto, seu guilds.php está seguro agora.

5 - Exclua completamente o arquivo houses.php, ele é um arquivo muito inutilizado e ainda muito vulnerável, pessoas maliciosas podem conseguir ver sua config.lua através dele, portanto apenas exclua.

Pronto, por enquanto é só, se você tiver mais dicas para deixar o Gesior e o XAMPP mais seguro, poste nesse tópico que você com certeza estará ajudando muitas pessoas necessitadas!

Créditos:

Matheus

gpedro

Red

Stian

Você gostou deste conteúdo!? Este conteúdo te ajudou!? Isso será realmente útil pra você!?

Então, se possível, faça uma doação (de qualquer valor) que estará me ajudando também!