3-09-2013, 11:57
0
  DLE Баг-Фиксы

Маленький фикс в безопасности DLE включая v10.0

Ранее уже публиковал статью, в которой писал исправление небольшой опечатки в .htaccess. Конкретно в указанном месте celsoft опечатку исправил, а вот в другом файле осталась.

Для начала напомню для старых версий DLE 9.8 и младше
Файл /uploads/.htaccess
Самая первая строка:

<FilesMatch ".([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll]).?">


А именно [Ph], т.е. это упущение позволяет запускать *.phtml файлы из папки uploads. Вопрос - как они туда могут попасть, это уже другая тема. В данном случае это упущение позволяет запускать подобные файлы.

Не сложно догадаться, что чтобы исправить опечатку, достаточно тут подправить [Ph] следующим образом [Pp]. В итоге получится такая строка:

<FilesMatch ".([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Tt][Mm][Ll]).?">



На заметку, PHP обрабатывает *.phtml файлы так же как обычный *.php файл.
Убедиться в этом можно, посмотрев конфиг файл сервера:

AddType application/x-httpd-php .php .php5 .phtml



Но точно такая же ошибка осталась в DLE 10 в файле /templates/.htaccess
Что с ней делать вы уже знаете :)

Автор: Олег Александрович a.k.a. Sander

Комментарии

Никто еще не оставил комментариев – станьте первым!

Напишите своё мнение