Лаунчер Launcher-13 + Craftex CMS

Ну у 'супир админа' сольют бд меньше чем за день. А вот у действительно защищёных скриптов есть потенциал

 

Т.е файлы связанные JCR модом от слива JCR заменить на ваши где вы вырезали и закинули на облако?

 

Зачем тебя вообще ставить jcr мод ?

 

Тогда че ты паришься? Если ты уверен что твоя база под 100% антисливом.

 

Ну я уже провёл все необходимые меры защиты от sql инъекций. И + pdo там есть возможность сразу избегать инъекций

 

Я даже не смотрел что такое jcr мод хД

 

=)

 

pdo рулит да, там подготовка все фильтрует сама.
Но ты не забывай о школоте которая заказывает скрипты(иногда с шеллом ).

 

Вопрос в силе)

 

Эт да

 

Т.е файлы связанные JCR модом от слива JCR заменить на ваши где вы вырезали и закинули на облако?

 

Я вырезал полностью, ничего от jcr вируса там ненужно вообще.

 

Т.е JCR мод бред?

 

смысл в том, что как будет хешироваться пароль, задает админ.
Смотрите функцию HashPassword в lib/system.php.

PHP:

    function HashPassword($pass){
$l = array(
"1" => "md5",
"2" => "md2",
"3" => "ripemd128",
"4" => "haval256,3",
"5" => "crc32",
"6" => "shefru",
"7" => "adler32",
"8" => "gost",
"9" => "sha1",
"0" => "tiger128,4",
"a" => "crc32b",
"b" => "sha256",
"c" => "whirlpool",
"d" => "md4",
"e" => "sha512",
"f" => "sha384",
); //Default hashing table.
$s = hash($l[substr($hashkey,0,1)],$s);
for($i = 1; $i < strlen($hashkey) - 1; $i++){
$g = substr($hashkey,$i,1);
if($l[$g] != false){
$s = $s . hash($l[$g], $s); //Самая соль (в обоих смыслах) тут
}
}
$s = hash($l[substr($hashkey, $strlen($hashkey) - 1)],$s);
return $s;
} 

если будет $hashkey = "eeeee"; тогда и пройдет 5 раз sha512
в 27 строке ошибка, не $strlen , а просто strlen
а можно сделать так

PHP:

    function HashPassword($pass){
$hashkey = hash("crc32", $pass); //См. сюда <<<
$l = array(
"1" => "md5",
"2" => "md2",
"3" => "ripemd128",
"4" => "haval256,3",
"5" => "crc32",
"6" => "shefru",
"7" => "adler32",
"8" => "gost",
"9" => "sha1",
"0" => "tiger128,4",
"a" => "crc32b",
"b" => "sha256",
"c" => "whirlpool",
"d" => "md4",
"e" => "sha512",
"f" => "sha384",
); //Default hashing table.
$s = hash($l[substr($hashkey,0,1)],$s);
for($i = 1; $i < strlen($hashkey) - 1; $i++){
$g = substr($hashkey,$i,1);
if($l[$g] != false){
$s = $s . hash($l[$g], $s); //Salting
}
}
$s = hash($l[substr($hashkey, $strlen($hashkey) - 1)],$s);
return $s;
} 

тогда даже алгоритм шифрования не разгадать

 

Это все неимеет смысла когда нубасам подкидывают шелл...
А у нормальных админов и под простым md5 все железно, если 100% нет слива.

 

йа вернулся.

тут имеет место гибкость всей конструкции. можно тупо поставить ключ "1" и будет только мд5