На старых базах (работающих уже 2-3 года) есть такая беда.

Варианты проблемы:

1.
Всё это началось, когда в 3.0.9 (вроде в этой версии клиента) изменили порядок работы сервера с паролем и сессиями. дело заключается в том что некоторые ЛК старых версий некорректно обновляют пароль в базе. при смене пароля не стирается содержимое полей sessionkey, v, s. Из-за этого может возникнуть ситуация, когда в sha_pass_hash находится один пароль, а в сессии сервера остался другой. при таком раскладе в игру некоторое время будет пускать по второму паролю, а в ЛК по первому. Решение - просто остановить сервер и стереть содержимое у всех sessionkey, v, s. НО может получиться так, что у части пользователей будут утеряны их пароли. Можно попросить пользователей сменить пароль через консоль игры.

2.
Все аккаунты должны быть написаны в базе заглавными буквами. Это еще так с 2.4.3. И не желательно писать аккаунты русскими буквами.

В модулях регистрации и напоминания пароля АСР все эти нюансы уже учтены.

Спасибо за ответ.

Так же, в Баг-трекере не отправляются сообщения с некоторыми элементами оформления текста. Например со смайлами.

баг-трекер не доделан. рекомендую пока отключить его через конфиг!

Собственно переработка под 5.3.х + немного подчистило лишние пробелы (это не я, программка сама при сохранении :pardon: ) + рекомендую все же стартовать сессии в любом случае (к примеру у меня проверка на session_name() не прошла).

Нет, ну это просто праздник какой-то... Такое впечатление что дыры в безопасности этого продукта напиханы специально :( Про некоторые я уже писал, вот еще (рев. крайний)
Код remember.php:
===
mysql_query('insert into `mail` (`random`, `account`, `email`, `mode`) values ("'.
...
$mail_code.'", '.$_POST['id'].', "'.$_POST['email']
$mail_body2 = '<a href="'.$http_mail.'">'.$http_mail.'</a>';
$post_mail = $_POST['email'];^
require("include/mailsend.php");
===
Долго создаем письмо с кодом на восстановление пароля, красивое письмо. И составляем его на тот id аккаунта и тот емейл, что нам пользователь в POST дал, а вовсе не на те значения, которые нами ранее в
$query = "SELECT * FROM `account` WHERE `email` like '".$_POST['email']."';";
получены..
Вывод - юзер подменяет форму и имеет восстановление пароля от любого аккаунта на любой емейл, и плевать что там в базе данных прописано.... Тем более что потом в процедуре проверке магиккода так же никаких проверок на валидность емейла не обнаружено :(

ПРОЕКТ ЗАКРЫТ.

т.е. разработка теперь идет чисто для себя.
===================================

На данный момент последние исправления все внесены в проект. Последняя ревизия 25 (на SVN).

Я занимаюсь новым проектом, в который позже буду переносить все наработки из данного АСР. Перенос будет производиться путем написания НОВОГО кода на основе идей из старых функций.

Дата публикации нового проекта не определена, т.к. сейчас я пишу свой движок, в котором пока созданы общеупотребительный функционал типа новостей, комментариев, ссылок, менюшек, шаблоны и модульно-панельная система размещения контента.

На вопросы по старому АСР отвечаю в данной теме.

При переходе по ссылке для восстановления пароля пишет что ссылка уже устарела, прошу помощи. :thank_you:

1. проверь правильность таблицы mail в базе АСР.
2. 7 и 25 строчка modules/mail.php функция eregi в ПХП 5.3.х должна быть заменена на аналог.
3. ну и обновись до последней версии.

Не рекомендую использовать восстановление пароля, т.к. есть риск взлома аккаунтов.

Дождитесь нового проекта от Кот ДаWINчи ;)

этот участок кода в 25-й реве был переделан. проверка сделана.

спс, первую проблему решил теперь еще одна ...
при восстановлении пароля через емайл после выбора аккаунта выдает "Вам запрещён доступ к этой странице!"

например, заменить eregi на mb_eregi.

или причина может крыться в том, что не выбирается из базы аккаунт в строке:например, по тому что нет такого сочетания аккаунта и емайла, или потому что аккаунт в игре, или что-то не так с базой.

Tag
Не пора ли начать приводить логи?

Нет ограничения на число попыток входа, подбор пароля возможен любой прогой.

ну вперёд :)
на брут любого мало мальски сложного пароля потратишь пол жизни =)))

Поставить капчу на вход и проблема решена.

Не так уж много современных посетителей инета знают что такое "сложность пароля", сколько им не долби это на всех углах. И в тоже время - школота через одного качает завирусованые бинарники "подбери пароль за пять минут", которые по словарям и правда вскроют пароль qwe123rty за кратчайшее время.

Mr.Grom, selector - Читаем пост 126

Переделывать в ЭТОМ проекте ничего уже не буду.

Впереди зима, а значит вечерами появится время поработать в ПХП. Уже решил, что постараюсь реализовать свой следующий проект, который плавно вытекает, и заимствует всё самое полезное из АСР. Это будет уже не "личный кабинет" а полноценный сайт со всеми функциями ЛК и еще много чем. Как будет называться - еще не решил, но точно не АСР3.

Рассмотрю все здравые идеи функционала для нового проекта. Пишите в этой теме.

поддержка 2.4.3 будет или только 3++ ?

изначально планировал делать под 3.3.5, но сделать форк под 2.4.3 никогда не поздно.

Идеи у меня как всегда возникнут только тогда, когда удастся хоть что-то реально существующее пощупать =) Так что жду стартовый вариант ;)

Случайно не оперой пользуетесь в качестве браузера.
Не уверен что именно так в данном случае, но если авторизация в АСР реализована на куках, причина в этой связке.

АСР использует стандартные сессии апача. БЕЗ куков. Данные о сессии хранятся в темп-папке сервера.

Код АСР проверялся на работу в IE(6,7,8), Opera (9,10) FF(2,3,4б), Safari, Crome и еще нескольких браузерах.

Space77, а к чему ваш пост? В ответ к какому посту?

А где находится репозиторий?

а тему надо читать всю! и там найдешь!

Спасибо!

Рева 26 ....

Добрый день. В ходе освоения с ЛК возникло несколько вопросов. Прочитав всю тему, как вы советовали выше, часть устранил. Но вот главной - авторизации, так и не могу добиться.
Ситуация уже несколько раз описывалась в данной теме - "При попытке входа в ЛК ничего не происходит."
При этом никаких сообщений про ошибки не получаю, хотя в *.htaccess у меня стоит php_value display_errors On и в config.php включено отображение ошибок. Единственное внятное пояснение дали опять таки вы.
Но нюанс заключается в том, что база создавалась неделю назад при помощи скриптов уважаемого rsa, а аккаунты создаются при помощи этого же ЛК. То есть, как мне кажется на грабли описанные вами я не наступаю.

Единственное сообщение о ошибке, которое мне удалось отловить, выдается при регистрации аккаунта, оно имеет вид:
Логика подсказывает, что и про это в данной теме говорилось, но поскольку в Web серверах я не силен, то решил уточнить у вас
Это мой вариант или нужно искать в другой области?

Это может быть одна из причин.

вторая - файлы в UTF8 кодировке с BOM. Если конфиг правили виндовым блокнотом, то так оно и есть.

Прошелся по всей директории программкой utf8-bom-remover.exe гарантировано нет BOM.
Создал временный директорий /tmp (права на папке 777) и поправил в
php.ini согласно гайда по настройке apache+mysql+php5
Может я какие еще переменные пропустил в конфиге ?
Имеет-ли значение ОС под которой это все происходит? Платформа работает на OpenSuse 11.3.

Судя по этим строчкам, ошибка происходит на строке (56):

Попробуйте ее закомментировать. Слышал, что в последних версиях php изменили логику старта сессии.

Комментирование помогло, ошибка ушла, создание аккаунта проходит успешно. Осталось преодолеть последнее
Попробую по аналогии с вашей идеей Поставить ЛК на более старый web-сервер, а вдруг ... :)

Чуть позже ...
Запустил на xampp-win32-1.7.1 свежескачанный ЛК, ни одной проблемы или сообщения не видно, кроме отсутствия возможности логина в этот ЛК, то есть страница "моргает" и снова стартовая страница входа в ЛК.
Все сообщения о ошибках на web-сервере включены, и, подозреваю, в момент "моргания" страницы, нужные сообщения могут показываться, но вот как добраться до них. Бум читать логи апача.

И еще попозжа...
Чтение логов Apache ни к чему не привело, в имеющихся 2-х log-файлах, ...-error_log и ...-access_log, кроме ошибок получения доступа к несуществующим файлам (недельной давности) ничего. :(
Но вот анализ HTTP заголовков, которыми обменивается браузер с сервером наталкивает на мысль. Итак при нажатии на кнопочку "Войти" имеем следующее
Первые сточки модуля static.php имеют вид:
Значит ли это, что далее, чем авторизация на MYSQL процесс не идет?

В выходные поставлю себе на ноутбук такой же XAMPP и проверю на сайте из последней ревы репозитория.

А таблица static имеет хоть одну запись? Сейчас смоделирую такую ситуацию. Может я забыл проверку на пустой список статических материалов сделать.:blush::blush::blush:

Имеет, 1-ну

посмотрел: static.php ну ни как не может влиять на регистрацию. Даже если таблица пустая.

Придется сесть и почитать как сейчас на свежих apache и php реализована работа с сессиями. Напишу примочку, которая в корне изменит работу АСР.

Сессия будет запускаться всегда и безусловно. А проверка будет осуществляться по наличию необходимых переменных в сессии.

Ждите, к понедельнику переделаю.

рева 27 залита. Тестируйте.

Прошу прощения, а в репозиториях проекта не произошло никаких изменений ? До текущего момента можно было подключиться и просмотреть при помощи Repo-Browser, а сейчас ни к одному из каталогов без пароля не пускает даже для чтения.

Жадные буржуи.... :ireful2: отменили бесплатный тариф для репозитория. Просят $50.

Переезжаем. Только куда? :search:

-----------------------
Пока вот архив...
Подумываю про свой собственный блог.