phpRS 2.8.2

Komunitná verzia phpRS 282

Download

http://www.kvalitne.sk/koncepty/282/282_RC8.rar

Stručný zoznam úprav v 2.8.2


config.php
	[DONE] nastavenie kodovania pre mb_string: mb_internal_encoding("UTF-8");
	[DONE] vypnutie chybovych hlaseni: error_reporting(0);
	[DONE] nastavenie SSL protokolu pre admin: $GLOBALS['rsconfig']['ssl']=true;
	[DONE] nastavenie konstanty PASSWORD_SALT pre vypocet odtlackov hesiel

admin.html
	[DONE] opravit obmedzenie dlzky hesla na 100 znakov
	[DONE] uplne nahradenie loginu pomcou admin.php
	[DONE] administracia ma HTML5 doctype

autor.php
	[DONE] zmenit vypocet hashu hesla

rss.php
	[DONE] kodovanie do headers
	[DONE] title z nazvu webu, kontakt a description z configu
	[DONE] fix SQLi (mnozstvi)

readers.php
	[DONE] zakazat html v user datach: login a celejmeno pri vytvoreni a editacii profilu
	[DONE] osetrit formular na XSS htmlspecialchars
	[DONE] fixnut viacnasobne escapovanie pri vtorbe profilu, OMG to je bordel :-(
	[DONE] zmenit vypocet hashu hesla tak ako pre users v admine?
	[DONE] doplnená captcha pri registracii
	[?] upraviť readers aby sa hash neprenášal do formuláru?

trmyreader.php
	[DONE] skontrolovat osetrenie vstupov
	[DONE] zmenit vypocet hashu hesla tak ako pre users v admine?

rservice.php
	[DONE] zrusenie funcie zasielania sprav emailom - pouzity link mailto:
atom.php
	[DONE] kodovanie do headers
	[DONE] title z nazvu webu, autor z configu
	[DONE] fix SQLi (mnozstvi)

search.php
	[DONE] osetrenie vstupu: rstema, rskolik, rskolikata
	[DONE] doplnenie testu: if (($pocet_slova) != 0) {...
	[DONE] doplnenie moznosti triedenia vysledkov podla priority
	[DONE] osetrenie vstupu rskde
	[DONE] oprava vyhladavania specialnych znakov % a _

trclanek.php
	[DONE] antispam: return(str_replace(array("@", "."), array("@", ".") , $str));

version.php
	[DONE] uprava infa o verzii

view.php
	[DONE] http header 404 pri neexistencii clanku
	[DONE] oprava SQLi v hlasovani - mn_hodnoceni

/admin/aengine.php
	[DONE] chybajuci break na r.35

/admin/aimggal.php
	[DONE] doplnenie podpory pre GIF nahlady
	[DONE] doplnenie funkcie na presun obrazku do inej galerie
	[DONE] doplnena funkcia na hromadny upload fotografii

/admin/areaders.php
	[DONE] oprava XSS - htmlspecialchars

/admin/astdlib_comment.php
	[DONE] oprava regularu + nahrada wordwrap
	[DONE] zmena VycistiKoment na: return strip_tags($txt, '<a><span><b><u><i><pre>'); - nutny test

/admin/astdlib_file.php
	[DONE] uprava funkcie CisteJmenoSouboru
	[DONE] doplnenie whitelistu na povolene pripony

/admin/adownload.php
	[DONE] pridanie podmienky vlozenia zaznamu len ak nie je chyba
	[DONE] zmena $_POST na $GLOBALS
		$_POST nema osetrene na pripadne automaticke escapovanie,
		co sa prejavi chybami pri magic_quotes_gpc = on

/admin/astdlib_mail.php
	[DONE] overit spravnost kodovania mailu pri utf-8 kodovani

/admin/asystem.php
	[DONE] doplnit odhlasovanie na URL (admin) + link na frontend

/admin/atopic.php
	[DONE] r.89,234, - zmenit text na LANG konstantu RS_TOP_SR_ZPET
	[DONE] test na existeniu obrazku temy pred zobrazenim (neexistujuci obrazok k teme generoval error log)

/admin/auser.php
	[DONE] AcEditUser() - presun sql escapovania az po testoch
	[DONE] htmlspecialchars v editacnych formularoch
	[DONE] AcVazbaUser(), OptOmzSezUziv() - zakaz vytvorenia vazby na neexistujuceho usera
	[DONE] povolenie max. dlzky username z 10 na 20 znakov
	[DONE] r.309,325,495,511 - povolit dlhsie heslo - 100 znakov
	[DONE] nahrada strlen za mb_strlen
	[DONE] zmenit vypocet hashu hesla
	[DONE] doplnenie kontroly na silu hesla: dlzka + velke male znaky cislice - regexp: ^(?=(?:.*?\d){1})(?=(?:.*?[A-Z]){1,})(?=(?:.*?[a-z]){1,}).{8,}$

/spefce.php
	[DONE] oprava chyby v banners: Banners($poloha = 0) { return (Banners_str($poloha)); }

/admin/hash_functions.php
	[DONE] hash funcie - generovanie noveho typu z plaintext hesla; prevod stareho md5 hashu na novy hash (vyuzitie pre instalacny script)

/hash_generator.php
	[DONE] generator pre novy typ hashu, generuje hash z hesla a SALTu v configu

/admin/*
	[DONE] drobne upravy validity, uprava reklamneho menu

/db/phprs_sql_to_mysqli.php
	[DONE] zmena návratových kódov funkcií SQL: 0/*1 vs true/false
/*
	[DONE] zmena kontroly vysledkov SQL: 0/*1 vs true/false
	[DONE] zmena ereg/eregi na preg_match
	[DONE] ošetrenie formulárov na nepermanentné XSS
	[DONE] povolenie prihlasenia len cez POST

/plugin/showlogin/showlogin.php
/plugin/loginkomplet/loginkomplet.php
/readers.php
	[DONE] zakaz HTML z užívateľskom menu, povolenie BBcode ako v komentároch

zmeny v db:
	ALTER TABLE `rs_user` CHANGE `user` `user` VARCHAR( 20 ) NOT NULL;
	ALTER TABLE `rs_user` CHANGE `password` `password` VARCHAR( 128 ) NOT NULL;
	ALTER TABLE `rs_guard` CHANGE `password` `password` VARCHAR( 128 ) NOT NULL;
	ALTER TABLE `rs_ctenari` CHANGE `password` `password` VARCHAR( 128 ) NOT NULL;
	ALTER TABLE `rs_kontrola_ip` CHANGE `ip_adresa` `ip_adresa` VARCHAR( 39 );
	ALTER TABLE `rs_stat_ip` CHANGE `ip` `ip` VARCHAR( 39 );

	-- nastevenie default hesla k uctu admin (id=1)
	UPDATE `rs_user` SET `password` = '5ec57b85d410f344515cba9fca438d6553a91ca4' WHERE `idu` =1;


Vytvorený inštalačný script a pridané ďalšie úpravy kódu (MySQLi, rozšírenie administrácie o lepší import pluginov atď). Dôrazne odporúčam update starých nezaplátaných inštalácií, inak hrozí kompromitácia webu.