发现严重的SQL注入漏洞

2004-4-9 2:45:11 PM
请所有DLOG用户注意,立即修改你的程序。此修改已经加破废墟DLOG1.2版。
网友阿房公发现:
以下为引用内容:
DLOG程序(目前只发现showTB.asp页面)存在很严重的SQL注入漏洞,刚才我实验了一下,程序提供者Poorfish的站点同样存在,我把poorfish的帐号比较轻松地得到了(加密后的前六位9875d2——注:此处只是为了证明漏洞的真实性,不会对其本身的安全性造成影响,请相关人员核实作出相应处理),还好是MD5加密的,写了个暴力破解的程序跑了一个上午,密码相当STRONG,未遂,呵呵~~,不过难保其他DLOG站长不疏忽大意,超级管理员帐号一旦泄露就麻烦了。我已向Poorfish提出警告,希望他注意修复,并作为程序第二作者,有义务推出更新包,让用户下载堵住漏洞其他页面我没有测试,有时间再好好看一下。目前的解决办法就是对showtb.asp页面传递的blog_id进行一下isnumeric函数判断,防止黑客利用漏洞进行破坏。

解决办法:
修改showTB.asp,将
Comment[22] | TrackBack[8] | 6890 views

dlog破废墟修改版 v1.2

2004-4-8 6:03:21 PM
此程序可自由使用,但请保留这个readme文件与版权信息并不得修改,谢谢。

所有登录帐号:
用户名:poorfish 密码:123456
Comment[199] | TrackBack[13] | 43461 views

增加评论的时间间隔限制

2004-3-23 9:16:00 PM
  根据loveyuki''s blog的代码,我尝试着给dlog也增加了评论的时间间隔控制,默认为30秒,可以根据自己的需要进行修改。具体代码如下:
  在remark.asp中找到adduser=replace(request("adduser"),"''","''''"),其后添加:
IF log_id="" Then
MESSAGE("log_id句柄传递错误,请不要搞破坏!谢谢!")
response.end
...
Comment[9] | TrackBack[6] | 2680 views

关于dlog升级

2004-2-27 1:17:46 PM
  今天从RSS上看到tsingove对dlog做了很多的改进,包括用户登录的安全性、日志生成为静态页等关键性的改进,估计他在进一步完善后将有一个令人期待的版本放出。
Comment[29] | TrackBack[4] | 2568 views

quote标记更改

2004-2-27
  发现使用quote标记会将index的表格撑开,原因是原来使用了表格来固定引用内容,现将<table>改为<div>:
function ubb_quote(ubb_temp)
ubb_temp_=ubb_temp
do while ubb_temp_ <> ""
text=SearchUBB(ubb_temp_,"[quote]","[/quote]")
...
Comment[14] | TrackBack[4] | 2035 views

LeXRus 到此一游 :O

2222-2-2 10:36:02 AM


发现dlog里有一个大虫耶...
如果您在使用dlog(不管是哪个版本).. 请将admin目录暂时删除或更名.. 以防万一..
我会将详情告知猪飞飞, 尽快修复这个bug
Comment[13] | TrackBack[0] | 2462 views

eWebEditor 2.0 beta 版发布

2004-2-8 10:32:31 PM

ewebsoft发布了这一在线编辑器的最新测试版,等正式版发布后我会把它移植到DLOG上。

what's new:

  • 增加显示或隐藏指导方针,也就是在表单,链接,表格边框为0时,有一个虚线
  • 样式CSS内容的管理从后台中取消,改为.css文件,放在CSS目录,提高缓存下载速度,及保证样式定义的完整
  • 增加查找替换功能按钮,实现内容的查找及替换
  • 增加直接新建文档功能按钮,即全部清除内容
  • 增加相对或绝对位置设置功能按钮,具有2D功能。使得图片等对象,可以浮于文字上方,重叠等
  • 增加上移一层功能按钮
  • 增加下移一层功能按钮
  • 增加增大编辑区功能按钮
  • 增加减小编辑区功能按钮
  • 增加缩放功能按钮,下拉型或按钮菜单型
  • 后台管理加入是否使用相对路径功能,允许使用相对路径
  • 后台管理加入CSS目录名设置
  • 后台管理加入允许设置调入时的初始模式
  • 后台管理加入允许设置文件上传的目录路径
  • 增加菜单功能,使得功能按钮更加集中及易用
    • 右链菜单功能
    • 粘贴按钮菜单功能
    • 表单菜单功能
    • 表格菜单功能
  • 增加强大的表格处理功能,包括
    • 插入表格...
    • 表格属性...
    • 单元格属性...
    • 拆分单元格...
    • 表格行属性...
    • 插入行(在上方)
    • 插入行(在下方)
    • 合并行(向下方)
    • 拆分行
    • 删除行
    • 插入列(在左侧)
    • 插入列(在右侧)
    • 合并列(向右侧)
    • 拆分列
    • 删除列
  • 修改状态栏样式,更美观
  • 为了更加的规范,图片及部分文件名调整
  • 原来的功能按钮一些属性的扩充,如原有表格对话框加入背景图片,...等
  • 背景图对话框可以做为公用模块进行调用
  • 增加扩充功能,有关图片远程自动获取及上传,在需要使用此功能的接收页面里首先包含ReplaceRemoteUrl.asp,然后执行处理函数就可
  • 说明文档帮助文件相应修改
  • 增加6套样式配色,当前共8套自带样式
  • 按钮图片,全部统一为20px*20px大小
  • 预览再回来时,右键菜单错误
  • 修复为空提交时,检测出还有<p> </p>的问题
  • 修复不使用状态栏时,直接引用状态栏上元素的错误
  • 修复插入表格时漏掉</tr>的错误
  • 其它一些小问题修复...

下载地址:Version 2.0.0 beta [下载]

[Edit on 2004-2-8 22:34:21 By poorfish]
Comment[11] | TrackBack[4] | 2270 views

修正评论TOP5中打开日志的小BUG

2004-2-5 1:23:22 AM
  在左边栏中的New Comment中列出了最新的五条评论,点击可打开评论所在日志,但发现此时打开的日志顶部图片仍然显示的是首页那个,而不是该日志所在栏目的图片。原因是程序根据日志所在的分类来选择相应的模板套用,而New Comment中,打开日志的链接中没有带cat_id参数,所以程序无法识别日志所属分类。修改SQL查询条件后取得分类ID,此修改得到冬冬大力支持,赏香吻一个 :D
  顺便在链接中加入评论的锚信息,这样点击就可以直接到达该评论所在的位置,不需要再拉滚动要找了。

修改方法
在log_lib.asp中找到:
Comment[28] | TrackBack[0] | 4748 views
< Prev 1 2 3 4 5 6 7 8 9 Next >
共70篇

~Fav Sites~

  • Blueidea
    蓝色理想 - 网站设计与开发人员之家
  • DCShooter
    Digital camera fans club
  • flickr
    almost certainly the best online photo management and sharing application in the world.
  • Douban
    读书 电影 音乐 找到臭味相投的朋友

~Fav Books~

~Recent Photos~