Маленький фикс в безопасности DLE включая v10.0 для DLE

Маленький фикс в безопасности DLE включая v10.0

Маленький фикс в безопасности DLE включая v10.0

Ранее уже публиковал статью, в которой писал исправление небольшой опечатки в .htaccess. Конкретно в указанном месте celsoft опечатку исправил, а вот в другом файле осталась.
Для начала напомню для старых версий DLE 9.8 и младше
Файл /uploads/.htaccess
Самая первая строка:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">


А именно [Ph], т.е. это упущение позволяет запускать *.phtml файлы из папки uploads. Вопрос - как они туда могут попасть, это уже другая тема. В данном случае это упущение позволяет запускать подобные файлы.

Не сложно догадаться, что чтобы исправить опечатку, достаточно тут подправить [Ph] следующим образом [Pp]. В итоге получится такая строка:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Tt][Mm][Ll])\.?">


На заметку, PHP обрабатывает *.phtml файлы так же как обычный *.php файл.
Убедиться в этом можно, посмотрев конфиг файл сервера:
AddType application/x-httpd-php .php .php5 .phtml


Но точно такая же ошибка осталась в DLE 10 в файле /templates/.htaccess
Что с ней делать вы уже знаете :)

С уважением,
Олег Александрович a.k.a. Sander
Комментарии: (2)
  1. foto
    Посетитель 22 сентября 2013 07:25 #
    такая же ошибка осталась в DLE 10 в файле /templates/.htaccess

    Да, есть такое дело, ещё в версии 9.8 у себя исправил, как 10.0 вышла, даже разработчикам писал по поводу этой опечатки, когда увидел что не исправили её в новой версии...
    0
  2. foto
    Посетитель 17 ноября 2013 12:33 #
    Цитата: Designer
    такая же ошибка осталась в DLE 10 в файле /templates/.htaccess

    зато в 10,1 исправили)
    +1
Добавить комментарий
  • Логин
  • E-mail (не обязательно)
Повторите рисунок:
antibot
© Sander-Development. 2009-2018.
При копировании, ссылка на источник обязательна.