[center]Для защиты от накрутки сделайте следущие изменнения:[/center]

в фале view.php и viewp.php

найти строчку 10

$adse=limpiar($_GET["ad"])

заменить на

$adseint)limpiar($_GET["ad"])

[center]Для защиты от SQL и XSS:[/center]

взять файлик .zsecurity.php скопировать в корень

в файлы advertise.php convert.php login.php register.php

в самом начале файлов

<?
session_start();
?>

заменить на

<?
require_once('.zsecurity.php');
session_start();
?>

[center]Для защиты букса от подмены пароля администратора требуеться выполнить не хитрые действия:[/center]

Заменить через базу логин администратора, например заменить существующий admin на dfkjdhfkjah (чтобы никто не смог подобрать имя администратора для замены пароля).
Ещё рекомендовано поставить пароль на admin папку.

(с) NaiZer

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Пример взлома:

1. устанавливаем браузер Opera
2. регистрируемся на ЛЮБОМ буксе
3. заходим в аккаунт
4. заходим в профиль
5. в опере Инструменты - дополнительно - Cookies
6. находим нужный букс (среди адресов посмотреть нужный адрес)
7. удаляем кукис под названием usPass:..... (там примерно такой usPass:qwerty )
8. редактируем кукис под названием usNick:.....
теперь сам секрет,
какой логин тут вы поставите, такой логин (если он существует) и получит ваш существующий пасворд!
например ставим usNick:admin
9. закрываем окошко редактирвоания кукисов
10. в профле вводим код подтверждения и нажимаем сохранить

вуаля.

пользоватлель под именем admin имеет пасворд qwerty

КАК ИЗБАВИТЬСЯ ОТ ЭТОГО:

вот впринципе мануал , тож вчера дописали , но может есть ошибки

$sendfrom=$_COOKIE["usNick"];

заменить на

$sendfrom=limpiar($_COOKIE["usNick"]);

в replysms.php

-----------------------------------------------------------------

$trok=uc($_COOKIE["usNick"]);

заменить это

на это:

if(isset($_COOKIE["usNick"]) && isset($_COOKIE["usPass"])) { $trok=uc($_COOKIE["usNick"]);

заменить это

$queryb = "UPDATE tb_users SET password='$password', ip='$laip', email='$email', pemail='$pemail', country='$country' WHERE username='$trok'"; mysql_query($queryb) or die(mysql_error());
echo "..."; ?>
<META HTTP-EQUIV="REFRESH" CONTENT="1;URL=logoutp.php"> <?

на это:

$queryb = "UPDATE tb_users SET password='$password', ip='$laip', email='$email', pemail='$pemail', country='$country' WHERE username='$trok'"; mysql_query($queryb) or die(mysql_error());
echo "..."; ?>
<META HTTP-EQUIV="REFRESH" CONTENT="1;URL=logoutp.php">
<? }else{ exit('Анти хак защита, ваш IP отправляен на рассмотрение в соответсвующие органы!'); }

в profile.php

---------------------------------------------------------------------

function limpiarez($mensaje)
{ $mensaje = str_replace("'"," ",$mensaje);
$mensaje = str_replace(";"," ",$mensaje);
$mensaje = str_replace("$"," ",$mensaje); return $mensaje; }

замени на

function limpiarez($mensaje) { $mensaje = str_replace("'"," ",$mensaje); $mensaje = str_replace(";"," ",$mensaje); $mensaje = str_replace("$"," ",$mensaje); $mensaje = str_replace("<"," ",$mensaje); $mensaje = str_replace(">"," ",$mensaje); return $mensaje; }

в advertise.php

---------------------------------------------------------------------

$adse=limpiar($_GET["ad"]);

на

if(preg_match("|^[\d]*$|",$_GET['ad']))
{
$adse=$_GET["ad"];
} else die("Invalid advert ID.");

в view.php и viewp.php

(с) NaiZer