iNews System
iNews System es un proyecto de codigo abierto que consiste en poder añadir/editar/borrar noticias mediante un panel de administración de seguridad alta, este proyecto actualmente esta en crecimiento, os iremos informando de la situación, y actualmente, permite manejarlo con una simplicidad altísima, además de que tiene muchísimas opciones importantes e interesantes.
Features:
- Ver noticias (100%)
- Añadir noticias (100%)
- Panel de administración (100%)
- Borrar noticias (100%)
- Editar noticias (100%)
- Registrar usuarios (100%)
- Ver usuarios (100%)
- Editar usuarios (100%)
- Sistema de comentarios (100%)
- Sistema de borrado v2 (100%)
- Sistema de emoticonos (100%)
- Sistema de editado v2 (100%)
- Sistema de BBCODES (100%)
- Borrado de usuarios (100%)
- Borrado de comentarios (100%)
- Rangos (A,C,S) (100%)
- Poderes diferentes (100%)
- Enviar boletin administrativo (100%)
- Borrar boletin administrativo (100%)
- Paginación (100%)
- Seguridad HASH MD5 (100%)
- Acentos y ñ y caracteres no ingleses permitidos (100%)
- Captcha Anti-XSRF (100%)
- Nuevo diseño (100%)
- Editar boletin de administración (100%)
- Sistema de busqueda (100%)
- Sistema de tags (100%)
- Saltos de linea al presionar enter (100%)
- Borrar usuarios (100%)
- Mostrar Administrador, Colaborador y Suscriptor en vez de A,C,S (100%)
- Automatización en la creación de la tabla boletín (100%)
Ventajas de iNS 1.2.1:
- Podemos añadir mensajes.
- Podemos ver mensajes.
- Podemos borrar mensajes.
- Podemos editar mensajes.
- Sistema de registros de usuario.
- Utilizamos sesiones en vez de cookies.
- Un diseño CSS en crecimiento pero se ira añadiendo.
- Seguridad anti <script></script> y redirecciones HTML.
- Podras ver que usuarios hay registrados.
- Podras editar el nombre del usuario que quieras.
- Podras enviar comentarios en las noticias.
- Nueva forma de editar y borrar noticias.
- Puedes introducir emoticonos en las noticias.
- Sistema de BBCODES.
- Seguridad aumentada.
- Borrado de usuarios.
- Borrado de comentarios.
- Seguridad máxima en XSS y RFI.
- Bugs ARREGLADOS.
- Nuevas opciones modulares.
- Borrado de noticias + borrado de comentarios unidos.
- Rangos de usuario.
- Modificado parte del código para acoplarse a los rangos.
- Bugs arreglados.
- Rangos: A = Administrador, poderes total - C = Colaborador, poderes total menos registrar y editar usuarios - S = Supscriptor, puede, editar sus mensajes, eliminar sus mensajes, enviar mensajes y borrar comentarios.
- Boletin administrativo.
- Más bugs arreglados.
- Paginación de noticias.
- Acentos, ñ y caracteres no ingleses permitidos.
- Seguridad HASH MD5 aumentada.
- Captcha Anti-XSRF.
- Nuevo diseño CSS.
- Muchos bugs arreglados, y seguridad anti acceso (acceder sin ser admin o usuario registrado).
- Nuevo sistema de instalación ( v2 ).
- Creación de licencia.
- Editar boletines de administración.
- Sistema de busqueda de noticias.
- Sistema de tags.
- Saltos de linea al presionar enter
- Borrar usuarios
- Mostrar Administrador, Colaborador y Suscriptor en vez de A,C,S
- Crear tabla de boletin automaticamente arreglado (gracias: Tope)
Descarga:Descargar INS 0.3 Alpha (http://www.krews.es/iNews_System/iNews_System.zip)
Descargar INS 0.4 BETA (http://www.krews.es/iNews_System/iNews_System_0.4.zip)
Descargar INS 0.6 (http://www.krews.es/iNews_System/iNews_System_0.6.zip)
Descargar INS 0.7 PATCH (http://www.krews.es/iNews_System/iNews_System_0.7PATCH.zip)
Descargar INS 0.8 BETA (http://www.krews.es/iNews_System/iNews_System_0.8BETA.zip)
Descargar INS 0.9.6 LTS (http://www.krews.es/iNews_system/iNews_System_0.9.6LTS.zip)
Descargar INS 1.1 (http://www.krews.es/iNews_System/iNews_System_1.1.zip)
Descargar INS 1.2.1 [v.Pruebas] (http://www.krews.es/iNews_System/iNews_System_1.2.1.zip)
Si alguien desea subirlo a algun host externo, adelante.
Bugs:Desconocemos de tales, si encuentran alguno contacten conmigo via email o por mensajes privados.
Version DEMO 1.2.1 Patch:Ya disponible.
Usuario: Demo
Password: Demo
Probar DEMO 1.2.1 Patch (http://www.krews.es/iNews_System/)
Creditos:Erik#: Programador PHP, SQL, javascript y CSS.
Warning: Cannot modify header information - headers already sent by (output started at .../htdocs/iNews_System/admin.php:2)
El sistema de administración ya esta hecho, solo necesito modificar una cosa del editar, y añadir registro de usuarios para que no solo haya 1 admin si el admin lo desea, pero esta parte es lo más dificil.
Fatal error: Out of memory (allocated 28835840) (tried to allocate 8192 bytes) in /homepages/22/d224069467/htdocs/iNews_System/conectar.php on line 1
Eso es normal?
Me parece un buen proyecto ya que nos ahorra tiempo creandonos un sistema de noticias que aparte cutre si queremos mejorarlo tendremos que dedicarnos mucho a él y no es la idea.
Por ejemplo si quieres presentar algo pequeño y rapido esta seria la solución.
Ahora, lo malo es que no se puede usar bien porque tiene errores (ya los dijeron) :P
Ya podeis probar la demo, de aqui unos minutos subire el archivo de descarga.
Igual no puedo entrar con la pass y el nombre de usuario que diste.
Le falta diseño ;)
Cita de: Pollo2 en 13 Noviembre 2008, 15:05 PM
Igual no puedo entrar con la pass y el nombre de usuario que diste.
Le falta diseño ;)
Prueba ahora.
Ya dije que yo de diseño CSS no es que entienda mucho, por eso si alguien se ofrece voluntario, que contacte conmigo por msn.
No creo que el usuario Demo, deba de poder modificar las noticias de Erik :rolleyes:
Además tengo un usuario juaj :P
Tienes un error, no estas filtrando bien el html o eso es es normal?
si es normal tienes que borrar mi mensaje de la base de datos, lo siento. :P
Cita de: Pollo2 en 13 Noviembre 2008, 15:13 PM
Tienes un error, no estas filtrando bien el html o eso es es normal?
si es normal tienes que borrar mi mensaje de la base de datos, lo siento. :P
Arregla eso porque ya no se puede seguir probando :xD
[Modifico] Ya esta solucionado
No pondre filtrado HTML para hacer las noticias más extensas, más adelante si me apetece convertir buscando con strstr palabras como <b></b><a href=""></a> y cambiarlas a // ya lo hare, pero por ahora no ;).
Bueno, en mi opinión creo que le falta un historico de noticias desde donde pueda filtrarlas mediante, fechas o palabras clave y desde ese listado ir a la edición de la noticia. Otra cosa que he echado en falta es una categorización para las noticias.
Sobre código no voy a opinar ya que para eso necesitaría ver el source de la aplicación y sobre el diseño tampoco. Si la aplicación está bien planteada siguiendo un modelo MVC no es un problema aplicar nuevas tpls y css para la presentación de las paginas.
En general me parece que está bien. Es simple y fácil de usar.
Buen trabajo :)
Seguro que no quieres filtrar nada?, he dejado un lindo mensaje :rolleyes:
[Modifico] Veo que ya han borrado mi alert :¬¬ >:D
Cita de: eufrasio en 13 Noviembre 2008, 15:47 PM
Bueno, en mi opinión creo que le falta un historico de noticias desde donde pueda filtrarlas mediante, fechas o palabras clave y desde ese listado ir a la edición de la noticia. Otra cosa que he echado en falta es una categorización para las noticias.
Sobre código no voy a opinar ya que para eso necesitaría ver el source de la aplicación y sobre el diseño tampoco. Si la aplicación está bien planteada siguiendo un modelo MVC no es un problema aplicar nuevas tpls y css para la presentación de las paginas.
En general me parece que está bien. Es simple y fácil de usar.
Buen trabajo :)
Muchas gracias, solo puedo decir que esto es una version Alpha 0.2, durante estos dias ire parcheando y modificando pijadas, más adelante hare busquedas a la bd de noticias, añadire "tags" que cuando busques salgan las que tienen esas, y el editado, aun necesito tiempo porque ese editado lo hice en unos minutos porque me interesa más que este acabada la base antes de empezar a programar en serio al 110% y necesitaba ver opiniones y comentarios.
Gracias de nuevo, a todos.
Cita de: Novlucker en 13 Noviembre 2008, 15:54 PM
Seguro que no quieres filtrar nada?, he dejado un lindo mensaje :rolleyes:
[Modifico] Veo que ya han borrado mi alert :¬¬ >:D
Pues mira, por tu culpa, quito el usuario demo, lo borro, si alguien quiere probarlo, esperaros a la descarga.
CitarPues mira, por tu culpa, quito el usuario demo, lo borro, si alguien quiere probarlo, esperaros a la descarga.
En que tono fue eso?
(me sono cabreado), pediste que lo revisaramos :xD :rolleyes:
Saludos, y sigue adelante ;)
Cita de: Novlucker en 13 Noviembre 2008, 16:09 PM
CitarPues mira, por tu culpa, quito el usuario demo, lo borro, si alguien quiere probarlo, esperaros a la descarga.
En que tono fue eso? (me sono cabreado), pediste que lo revisaramos :xD :rolleyes:
Saludos, y sigue adelante ;)
Ya se que se pueden hacer todo tipo de ejecuciones, pero solo un admin, y no creo que un admin se moleste porque el mismo se haga gilipolleces por tonto, así que, novlucker, no uses más tags XSS ni redirecciones -.-
Ya todo sabiamos que habia un bug de XSS no era necesario que lo siguieras explotando :¬¬
Creo que por eso se "cabreó"
Cita de: Freeze. en 13 Noviembre 2008, 16:18 PM
Ya todo sabiamos que habia un bug de XSS no era necesario que lo siguieras explotando :¬¬
Creo que por eso se "cabreó"
Solo puse un par de mensajes y una redirección, además no sabía si él lo había visto.. después de todo, todo el mundo podía borrar los mensajes de los demás :rolleyes:
Paz :-* Saludos
Imaginate si no tiene protección contra ese tipo de XSS tan simples. Solo imaginate lo que sucedia si el imprimia esos mensajes en la sección de borrar.
NUEVAMENTE se redireccionaba y no se podia borra nada sino desde la base de datos :xD
Cita de: Freeze. en 13 Noviembre 2008, 16:49 PM
NUEVAMENTE se redireccionaba y no se podia borra nada sino desde la base de datos :xD
Si se podía :P, simplemente había que pasar los valores de las variables a traves de la url ::), pero claro, había que estar logeado ya que sino no te dejaba, por lo que si bien debería de filtrar ciertas cosas, es como ha dicho
Erik#, los fallos solo son visibles para el administrador ya que después de todo es quién utilizará el sistema
Tienes razón de que los fallos los ve solo el admin en la zona de administración pero CABREA :xD
Aceptalo no te justifiques :xD :xD :xD
Gracias a un consejo de mi amigo Freeze, he integraso Sesiones en vez de cookies, una nueva ventaja.
Atención: VERSION 0.3 Alpha Actualizada.
¿Que tiene de nuevo esta version?
Actualmente, en esta version es imposible efectuar funciones de <script></script> ni <META para redirecciones HTML.
Esta deshabilitado en las opciones enviar y editar, en el titulo y en el mensaje.
Version 0.4 BETA ya disponible.
Ventajas:
- Sistema de comentarios
- Ver usuarios registrados
- Editar nombre de usuarios registrados
- Seguridad aumentada
Se supone que no acepta scripts, pero aún puedo poner etiquetas html, javascript y vbscript :-\ (esta vez lo he borrado XD) en las nuevas noticias, no así en los comentarios.
También permite crear usuarios con etiquetas de script en los nombres :P
Por otra parte, debería de haber un mensaje para el caso de querer registrar a un usuario con mismo nombre, aunque sean pocos, ya que al momento de registrar el nuevo usuario, con mismo nombre, te da mensaje de que se ha registrado satisfactoriamente, pero no te permite ingresar (si se ha puesto una nueva contraseña) y en el listado de usuarios aparece varias veces con un ID diferente :-\ (Esto último lo he dejado para que veas)
Por otra parte no se si sea adrede, pero el listado de usuarios los ve cualquiera
Eso es todo por el momento ;D
Saludos
existe un "proyecto" llamado fckeditor que quizás te sirva para lo que andas haciendo, es fácil de utilizar, muy completo y muy adaptable
No esta nada mal yo estaba haciendo un sistema pero me he quedado a medias por falta de tiempo:
http://phpdacan.freehostia.com/ver.php
Saludos, Dacan :D
Cita de: Novlucker en 13 Noviembre 2008, 21:33 PM
Se supone que no acepta scripts, pero aún puedo poner etiquetas html, javascript y vbscript :-\ (esta vez lo he borrado XD) en las nuevas noticias, no así en los comentarios.
También permite crear usuarios con etiquetas de script en los nombres :P
Por otra parte, debería de haber un mensaje para el caso de querer registrar a un usuario con mismo nombre, aunque sean pocos, ya que al momento de registrar el nuevo usuario, con mismo nombre, te da mensaje de que se ha registrado satisfactoriamente, pero no te permite ingresar (si se ha puesto una nueva contraseña) y en el listado de usuarios aparece varias veces con un ID diferente :-\ (Esto último lo he dejado para que veas)
Por otra parte no se si sea adrede, pero el listado de usuarios los ve cualquiera
Eso es todo por el momento ;D
Saludos
Lo de los usuarios ya lo se, y los de los <script> no te deja, solo muestra <##script###> o si es final <###script###> y si es meta <###META ;).
Atención:En la 0.6 se creara el sistema de emoticonos.
Procesamiento: Como muchos sabreis, haremos un sistema que por ejemplo, si el usuario pone :) con str_replace la cambiaremos por www.miweb.com/smilesonrisa.jpg
Es la manera de lo que hare, opiniones porfavor.
CitarLo de los usuarios ya lo se, y los de los <script> no te deja, solo muestra <##script###> o si es final <###script###> y si es meta <###META ;).
Ok, no insisto más, pero he dejado un simple alert para que veas :rolleyes:, ya tu verás que es lo que haces
Saludos ;)
Dime que escribiste, porfavor.
<SCRIPT LANGUAGE="javascript">alert("Novlucker")</SCRIPT>
Vi que estaba solucionado, pero con las etiquetas sin el "javascript dentro", igual con el "VBScript" :P
Cita de: Novlucker en 14 Noviembre 2008, 14:06 PM
<SCRIPT LANGUAGE="javascript">alert("Novlucker")</SCRIPT>
Vi que estaba solucionado, pero con las etiquetas, sin el "javascript dentro", igual con el "VBScript" :P
ARREGLADO.
Atención, bug arreglado: Ya no se puede registrar un usuario con el mismo nombre.
Atención, mejora que avanzara mucho en el sistema de modulación:
A partir de ahora, cuando borrar (más pronto en editar) se podra borrar cuando clickas en el numero de la id.
Podeis probarlo.
Para lo de los smilies puedes usar esta función:
<? // Creada por Dacan
function smilies($msg) {
$msg = str_replace('AQUI EL CODE DEL SMILIES','<img src="URL DEL SMILIES">', $msg);
$msg = str_replace('AQUI EL CODE DEL SMILIES','<img src="URL DEL SMILIES">', $msg);
return $msg;
}
?>
Saludos, Dacan :D
Cita de: Dacan en 14 Noviembre 2008, 20:13 PM
Para lo de los smilies puedes usar esta función:
<? // Creada por Dacan
function smilies($msg) {
$msg = str_replace('AQUI EL CODE DEL SMILIES','<img src="URL DEL SMILIES">', $msg);
$msg = str_replace('AQUI EL CODE DEL SMILIES','<img src="URL DEL SMILIES">', $msg);
return $msg;
}
?>
Saludos, Dacan :D
Los smiles llevan activados lo menos 6 horas o más :).
Función str_replace, cuando escribe :) sale <img src=""> ;)
Que bien que ya funcionen los comentarios pero deberias de motrarnos el post o noticia de la cual estamos haciendo el comentario. :D
Seria bueno que te metieras de cabeza rapidito a un librito o tutorial de CSS :D
Y dime terminaste usando mi función si necesitas bbcodes también me dices y te hago una función.
Saludos, Dacan :D
Cita de: Dacan en 14 Noviembre 2008, 23:43 PM
Y dime terminaste usando mi función si necesitas bbcodes también me dices y te hago una función.
Cita de: Erik# en 14 Noviembre 2008, 20:59 PM
Los smiles llevan activados lo menos 6 horas o más :).
Función str_replace, cuando escribe :) sale <img src=""> ;)
Cuando pusiste la función ya hacia raaato que estaban en funcionamiento los smileys :rolleyes:
Ahh bueno nada jeje la intención es lo que vale
Xss:
http://www.krews.es/iNews_System/comentarios.php?n=76
Man filtra todas las variables con htmlentities, Dios..
Saludos, Dacan :D
Yes, esta advertido... pero que conste que esos mensajes con "Novlucker" no los puse yo :¬¬ ,aunque no se si Erik# habrá tocado algo, porque antes no había XSS en los comentarios, en el resto, si... hay de lo que busques :P
Cita de: Novlucker en 14 Noviembre 2008, 23:58 PM
Yes, esta advertido... pero que conste que esos mensajes con "Novlucker" no los puse yo :¬¬
Perdona fui yo probando el código, pero creo que no hay problema alguno ya que no fue con mala intención.
Saludos, Dacan :D
<SCRIPT LANGUAGE="javascript">document.documentElement.innerHTML="HTML Injection"</SCRIPT>
http://www.krews.es/iNews_System/comentarios.php?n=39
Saludos
Parece que el creador del tema no sabe casi nada de seguridad en sus aplicaciones de eso es lo primero que se debe estar seguro.
Saludos, Dacan :D
Mmmm, no se si os days cuenta que la 0.6 aun no esta disponible. ¿Por que? Porque la seguridad es prioritaria.
Principalmente, el bug es: <script type=""> o <script language=""> Tengo censuradas esas mismas pero funciona igual poniendo ScRiPt o SCRiPt y etc... Por eso estoy arrelgnaod muchas cosas, sino la 0.6 ya estaria hecha.
http://foro.elhacker.net/php/tutorial_protege_tu_aplicacion_php-t235223.0.html
Saludos, Dacan :D
Actualmente la 0.6 sera segura al 100% XSS, podeis probarlo si quereis en comentarios y mensajes.
Cita de: Dacan en 16 Noviembre 2008, 19:49 PM
http://foro.elhacker.net/php/tutorial_protege_tu_aplicacion_php-t235223.0.html
Saludos, Dacan :D
Dacan gracias por intentar ayudar pero siempre vas atrasado a mis acciones jajaja, no te lo tomes mal pero cuando necesite ayuda en un code, tranquilo que ya preguntare.
Lo hice por tu sistema y por el foro el tutorial pero nada que bueno que ya tu aplicación no sea vulnerable.
Saludos, Dacan :D
Acabo de terminar los BBCODE's, estaran disponibles en la 0.6:
[b][/b] - [i][/i] - [u][/u] - [img][/img] - [url=]][/url] -
Acordaos, el de url llevara despues del =] otro ] por un error del sistema, pero fijaos, he consegido añadir hasta url's en los BBC, igualmente en enviar tendra la tabla debajo.
Una cosa que necesito es en el editar, que me salga por ejemplo en contenido de la noticia id:39 dentro de un textarea, haber si alguien puede ayudar.
Bueno es muy sencillo:
<?
$sql = mysql_query("SELECT * FROM `noticias` WHERE id = '".$_GET['editar']."'");
$noticia = mysql_fetch_assoc($sql);
?>
<textarea name="noticia" rows="10" cols="20"><?=$noticia['fila de la db'];?></textarea>
Saludos, Dacan :D
Gracias, estaras en los creditos.
PD: Esa clase de mysql falte xD.
Bueno debes ponerle a tu sistema de noticias un sistema de Mensajes Privados para los usuarios registrados y diferentes rangos así hay un mejor control.
Saludos, Dacan :D
Uff, dacan, más adelante, xDD.
PD: No consigo ver los mensajes en el editado una vez filtrados, cuando pongo $noticia['mensaje'] si, pero cuando lo filtro por los BBCODES y los Smileis y el fuera HTML, no me sale nada.
No te entiendo para que quieres filtrar esos datos me imagino que quieres ver el texto en claro, puedes poner el código que usas para bbcodes, smilies y fuera html que usas a ver si entiendo.
Saludos, Dacan :D
$sql = mysql_query("SELECT * FROM `mensajes` WHERE id = '".$_GET['n']."'");
$noticia = mysql_fetch_assoc($sql);
$change = htmlentities($noticia['mensaje']);
$emoticonos = array(":)",":O",":o",":S",":s",":(",":D",":d");
$emoticonos_imagen = array("<img src=\"pijo.gif\">","<img src=\"sorprendido.gif\">","<img src=\"sorprendido.gif\">","<img src=\"confundido.gif\">","<img src=\"confundido.gif\">","<img src=\"lloron.gif\">","<img src=\"sonrisa.gif\">","<img src=\"sonrisa.gif\">");
$final_change = str_replace($emoticonos_imagen, $emoticonos, $change);
$bbcodes = array("<b>","</b>","<i>","</i>","<u>","</u>","<img src=\"","\">","<a href=\"","\">","</a>");
$bbcodes2 = array("[b]","[/b]","[i]","[/i]","[u]","[/u]","[img]","[/img]","[url=","]]","[/url]");
$inclodebbc = str_replace($bbcodes, $bbcodes2, $final_change);
echo '<form action="editarid.php?n='.$_GET['n'].'"" method="POST"
Introduce el mensaje nuevo: <br><textarea rows="20" cols="70" name="mensajes" value="'.$inclodebbc.'""></textarea><br><br>
<input type="submit" name="editar" value="Editar noticia"><input type="reset" value="Limpiar"></form>'
Buenas Erik#, hablas en plural para referirte al proyecto. ¿Se puede saber quien más esta trabajando contigo?
Saludos.
EDITO:
Ya lo ví, perdona.
Yo como programador php, mysql, html y algo de css.
Freeze como programador html y css (todo menos algunos arreglos que voy haciendo)
Dacan ayudante en codigos de conjuncion php y mysql.
Novlucker buscando errores en el proyecto.
Y ya.
EDIT: No pasa nada sarkys.
Bueno porque no haces un archivo funciones.php y conviertes bbcode y smilies a funciones así no tienes que ir script por script poniendo esas funciones y en ese código no es necesario filtrar los datos con smilies ni bbcodes porque lo que quieres ver es [/b][/b] no el texto en negrita lo que si tienes que hacer es filtrar los datos con htmlentities y ya lo tienes.
Saludos, Dacan :D
No se si viene a cuento, pero mirando este hilo he visto que las consultas sql las lanzais a pelo sin preformatear la consulta sql.
Una forma de enviar problemas con las consultas sql, es usar cadenas preformateadas para construir las consultas dinámicas.
Me explico: Cuando usamos una cadena preformateada tenemos que indicar el tipo de dato que se va a incluir en la cadena. Esto se hace con los formatos de tipo %s, %d, %f, etc... Esto quiere decir que si la cadena formateada espera un entero y recibe una cadena, este convertirá la cadena a un número entero (cero por defecto).
Ejemplo:
$sql = "SELECT * FROM {nodos} WHERE nid=%d";
$sql = sprintf($sql,'pepitoperez'); // la salida será "SELECT * FROM {nodos} WHERE nid=0";
mysql_query($sql);
De esta forma, preformateando las consultas e indicándoles los tipos de datos, podemos asegurarnos que la consulta sql va a usar los tipos de datos correctos y evitar en gran medida problemas de seguridad debidos a parámetros dinámicos que vienen por los métodos POST y GET que se usan para hacer consultas SQL.
Si encapsulamos la consulta en una función tipo:
function my_db_query() {
$args = func_get_args();
$values = array_slice($args,1);
$sql = mysql_real_escape_string(vprintf($args[0],$values));
return mysql_query($sql);
}
Podemos conseguir que todas las consultas sql que lancemos sobre nuestra base de datos sean mas seguras.
:)
Añado más cosas que se me han ocurrido después de leer vuestros mensajes:
Existe un pecl que se llama bbcode (bulletin board code http://es2.php.net/manual/es/book.bbcode.php) que permite hacer todo eso sin necesidad de mucho más. La instalación es bastante sencilla (pecl install <paquete>). En el caso que no se pueda instalar un pecl en el servidor existe la alternativa PEAR HTML_BBCodeParser.
La clave de estas piezas de código es que ya están probadas y nos evitan en gran medida tener demasiado código en nuestra aplicación ya que no tenemos que implementar la funcionalidad de parseo, ni el mapeo de tags para los bbcodes. Al tener menos código implementado por nosotros (la mayoría de las veces codificado con prisas y sin prestar atención al conjunto de la aplicación. Esto es una constante en las aplicaciones web que he visto y vivido durante algunos años) para tareas rutinarias mejoramos el mantenimiento de la aplicación y la seguridad.
Algún día dominaremos el mundo :)
Necesito arreglar el editar y ya.
Atención: iNews System 0.6 Ya disponible!!!
Descarga: http://www.krews.es/iNews_System/iNews_System_0.6.zip
Atención: Version 0.7 PATCH Actualizado!!!
www.krews.es
www.krews.es/iNews_System/iNews_System_0.7PATCH.zip
Error en el admin.php:
Linea 24
if($datos['usuario'] == $_POST['usuario'] && $datos['password'] == md5($_POST['contrasena'])){
La password esta almacenada en texto plano ( o al menos cuando yo lo instale en localhost fue asi, por lo tanto no me pude loguear sin quitar lo de md5 )
$query = mysql_query("SELECT * FROM `usuarios` WHERE usuario='$_POST[usuario]'"); ;
SQL Injection?
===================================
Insecure Cookie Handling:
if($_SESSION['usuario'] and $_SESSION['contrasena']){
/* Aqui muestras el panel de admin */
}
Definiendo las sessiones obtienes acceso.
Saludos
Cita de: Securitykill en 28 Noviembre 2008, 01:35 AM
Error en el admin.php:
Linea 24
if($datos['usuario'] == $_POST['usuario'] && $datos['password'] == md5($_POST['contraseña'])){
La password esta almacenada en texto plano ( o al menos cuando yo lo instale en localhost fue asi, por lo tanto no me pude loguear sin quitar lo de md5 )
$query = mysql_query("SELECT * FROM `usuarios` WHERE usuario='$_POST[usuario]'"); ;
SQL Injection?
===================================
Insecure Cookie Handling:
if($_SESSION['usuario'] and $_SESSION['contraseña']){
/* Aqui muestras el panel de admin */
}
Definiendo las sessiones obtienes acceso.
Saludos
En el admin no te preocupes ,estuve haciendo cambios, y lo ultimo no lo entiendo.
Atención: La versión BETA de iNews System 0.8 ya esta para descargar.
www.krews.es/iNews_System/iNews_System_0.8BETA.zip
Cita de: Securitykill en 28 Noviembre 2008, 01:35 AM
Error en el admin.php:
Linea 24
if($datos['usuario'] == $_POST['usuario'] && $datos['password'] == md5($_POST['contraseña'])){
La password esta almacenada en texto plano ( o al menos cuando yo lo instale en localhost fue asi, por lo tanto no me pude loguear sin quitar lo de md5 )
$query = mysql_query("SELECT * FROM `usuarios` WHERE usuario='$_POST[usuario]'"); ;
SQL Injection?
===================================
Insecure Cookie Handling:
if($_SESSION['usuario'] and $_SESSION['contraseña']){
/* Aqui muestras el panel de admin */
}
Definiendo las sessiones obtienes acceso.
Saludos
El insecure cookie hadling solo sirve para cookies: javascript:document.cookie="usuario=Demo; path=/";
Atención: La nueva versión de iNews System sera la 0.9, llevara un sistema de boletin de administraciones, enviar y borrar utilizando los BBCodes y Emoticonos, tendra bugs arreglados y alguna que otra cosa para mejorarlo, muy pronto...
Me gustarian comentarios y opiniones sobre que os gustaria que llevara la nueva versión o futuras versiones y bugs... :)
Atención: La paginación de iNews System esta en creación.
Atención: La nueva versión de iNews System ya esta disponible!
Atención actualización a la 1.1: La versión 1.1 incluye un novedoso sistema de instalación v2, la cual no necesita modificar ningun archivo tan solo tienen que subir todo a su host y desde allí empezar la instalación.
Esta nueva versión incluye un nuevo bonito diseño y sistemas de busqueda por tags.Tambien hemos implementado la opcion de editar boletines administrativos.Y hemos aumentado la seguridad anti acceso.
más info: www.krews.es
Atención: La actualización más importante que tendra la 1.2.1, gracias a la función nl2br, no se utilizara el BBC
para hacer los saltos de linea, con solo darle a enter, ya se provoca el salto de linea, gracias!
Nueva versión 1.2.1 lista para descargar :P
Pregunta: ¿Pongo la versión 1.2.1 parcheada a parte sobreescribo la 1.2.1 normal?
La patch llevara algo que quiero integrar de hace tiempo, pero por culpa de que no sabia hacer una cosa en CSS no lo consiguia, ahora sí.
www.krews.es/iNews_System