На старых базах (работающих уже 2-3 года) есть такая беда.
Варианты проблемы: 1. Всё это началось, когда в 3.0.9 (вроде в этой версии клиента) изменили порядок работы сервера с паролем и сессиями. дело заключается в том что некоторые ЛК старых версий некорректно обновляют пароль в базе. при смене пароля не стирается содержимое полей sessionkey, v, s. Из-за этого может возникнуть ситуация, когда в sha_pass_hash находится один пароль, а в сессии сервера остался другой. при таком раскладе в игру некоторое время будет пускать по второму паролю, а в ЛК по первому. Решение - просто остановить сервер и стереть содержимое у всех sessionkey, v, s. НО может получиться так, что у части пользователей будут утеряны их пароли. Можно попросить пользователей сменить пароль через консоль игры. 2. Все аккаунты должны быть написаны в базе заглавными буквами. Это еще так с 2.4.3. И не желательно писать аккаунты русскими буквами. В модулях регистрации и напоминания пароля АСР все эти нюансы уже учтены. |
Спасибо за ответ.
Так же, в Баг-трекере не отправляются сообщения с некоторыми элементами оформления текста. Например со смайлами. |
Цитата:
|
Вложений: 1
Цитата:
|
Нет, ну это просто праздник какой-то... Такое впечатление что дыры в безопасности этого продукта напиханы специально :( Про некоторые я уже писал, вот еще (рев. крайний)
Код remember.php: === mysql_query('insert into `mail` (`random`, `account`, `email`, `mode`) values ("'. ... $mail_code.'", '.$_POST['id'].', "'.$_POST['email'] $mail_body2 = '<a href="'.$http_mail.'">'.$http_mail.'</a>'; $post_mail = $_POST['email'];^ require("include/mailsend.php"); === Долго создаем письмо с кодом на восстановление пароля, красивое письмо. И составляем его на тот id аккаунта и тот емейл, что нам пользователь в POST дал, а вовсе не на те значения, которые нами ранее в $query = "SELECT * FROM `account` WHERE `email` like '".$_POST['email']."';"; получены.. Вывод - юзер подменяет форму и имеет восстановление пароля от любого аккаунта на любой емейл, и плевать что там в базе данных прописано.... Тем более что потом в процедуре проверке магиккода так же никаких проверок на валидность емейла не обнаружено :( |
ПРОЕКТ ЗАКРЫТ.
т.е. разработка теперь идет чисто для себя. =================================== На данный момент последние исправления все внесены в проект. Последняя ревизия 25 (на SVN). Я занимаюсь новым проектом, в который позже буду переносить все наработки из данного АСР. Перенос будет производиться путем написания НОВОГО кода на основе идей из старых функций. Дата публикации нового проекта не определена, т.к. сейчас я пишу свой движок, в котором пока созданы общеупотребительный функционал типа новостей, комментариев, ссылок, менюшек, шаблоны и модульно-панельная система размещения контента. На вопросы по старому АСР отвечаю в данной теме. |
При переходе по ссылке для восстановления пароля пишет что ссылка уже устарела, прошу помощи. :thank_you:
|
1. проверь правильность таблицы mail в базе АСР.
2. 7 и 25 строчка modules/mail.php функция eregi в ПХП 5.3.х должна быть заменена на аналог. 3. ну и обновись до последней версии. |
Не рекомендую использовать восстановление пароля, т.к. есть риск взлома аккаунтов.
Дождитесь нового проекта от Кот ДаWINчи ;) |
Цитата:
|
спс, первую проблему решил теперь еще одна ...
при восстановлении пароля через емайл после выбора аккаунта выдает "Вам запрещён доступ к этой странице!" |
Цитата:
Цитата:
или причина может крыться в том, что не выбирается из базы аккаунт в строке: Код:
$resM = mysql_query("SELECT `id`,`email` FROM `account` WHERE (`id`=".(int)$_POST['id'].") and (`email` LIKE '".$_POST['email']."') and (`active_realm_id` = 0) LIMIT 1;"); |
Tag
Не пора ли начать приводить логи? |
|
Нет ограничения на число попыток входа, подбор пароля возможен любой прогой.
|
Цитата:
на брут любого мало мальски сложного пароля потратишь пол жизни =))) |
Поставить капчу на вход и проблема решена.
|
Цитата:
|
|
Впереди зима, а значит вечерами появится время поработать в ПХП. Уже решил, что постараюсь реализовать свой следующий проект, который плавно вытекает, и заимствует всё самое полезное из АСР. Это будет уже не "личный кабинет" а полноценный сайт со всеми функциями ЛК и еще много чем. Как будет называться - еще не решил, но точно не АСР3.
Рассмотрю все здравые идеи функционала для нового проекта. Пишите в этой теме. |
поддержка 2.4.3 будет или только 3++ ?
|
Цитата:
|
Идеи у меня как всегда возникнут только тогда, когда удастся хоть что-то реально существующее пощупать =) Так что жду стартовый вариант ;)
|
Случайно не оперой пользуетесь в качестве браузера.
Не уверен что именно так в данном случае, но если авторизация в АСР реализована на куках, причина в этой связке. |
АСР использует стандартные сессии апача. БЕЗ куков. Данные о сессии хранятся в темп-папке сервера.
Код АСР проверялся на работу в IE(6,7,8), Opera (9,10) FF(2,3,4б), Safari, Crome и еще нескольких браузерах. Space77, а к чему ваш пост? В ответ к какому посту? |
Цитата:
|
Цитата:
|
Цитата:
|
Рева 26 ....
Код:
Внеплановая ревизия, чтобы не потерять былые труды. |
Добрый день. В ходе освоения с ЛК возникло несколько вопросов. Прочитав всю тему, как вы советовали выше, часть устранил. Но вот главной - авторизации, так и не могу добиться.
Ситуация уже несколько раз описывалась в данной теме - "При попытке входа в ЛК ничего не происходит." При этом никаких сообщений про ошибки не получаю, хотя в *.htaccess у меня стоит php_value display_errors On и в config.php включено отображение ошибок. Единственное внятное пояснение дали опять таки вы. Цитата:
Единственное сообщение о ошибке, которое мне удалось отловить, выдается при регистрации аккаунта, оно имеет вид: Цитата:
Цитата:
|
Цитата:
вторая - файлы в UTF8 кодировке с BOM. Если конфиг правили виндовым блокнотом, то так оно и есть. |
Прошелся по всей директории программкой utf8-bom-remover.exe гарантировано нет BOM.
Создал временный директорий /tmp (права на папке 777) и поправил в php.ini согласно гайда по настройке apache+mysql+php5 Код:
session.save_path = "/tmp" Имеет-ли значение ОС под которой это все происходит? Платформа работает на OpenSuse 11.3. |
Цитата:
PHP код:
|
Комментирование помогло, ошибка ушла, создание аккаунта проходит успешно. Осталось преодолеть последнее
Цитата:
Цитата:
Чуть позже ... Запустил на xampp-win32-1.7.1 свежескачанный ЛК, ни одной проблемы или сообщения не видно, кроме отсутствия возможности логина в этот ЛК, то есть страница "моргает" и снова стартовая страница входа в ЛК. Все сообщения о ошибках на web-сервере включены, и, подозреваю, в момент "моргания" страницы, нужные сообщения могут показываться, но вот как добраться до них. Бум читать логи апача. И еще попозжа... Чтение логов Apache ни к чему не привело, в имеющихся 2-х log-файлах, ...-error_log и ...-access_log, кроме ошибок получения доступа к несуществующим файлам (недельной давности) ничего. :( Но вот анализ HTTP заголовков, которыми обменивается браузер с сервером наталкивает на мысль. Итак при нажатии на кнопочку "Войти" имеем следующее Код:
NO. TimeStart Duration(s) Method Result Received Type URL RedirectURL Код:
if (isset($_GET['id']) and ($_GET['id'] > 0)) { |
Цитата:
Цитата:
|
Цитата:
Код:
1 Правила сервера Правила <p>Главное правило - адекватность.</p> 0 2009-10-13 09:03:52 |
посмотрел: static.php ну ни как не может влиять на регистрацию. Даже если таблица пустая.
Придется сесть и почитать как сейчас на свежих apache и php реализована работа с сессиями. Напишу примочку, которая в корне изменит работу АСР. Сессия будет запускаться всегда и безусловно. А проверка будет осуществляться по наличию необходимых переменных в сессии. Ждите, к понедельнику переделаю. |
рева 27 залита. Тестируйте.
|
Прошу прощения, а в репозиториях проекта не произошло никаких изменений ? До текущего момента можно было подключиться и просмотреть при помощи Repo-Browser, а сейчас ни к одному из каталогов без пароля не пускает даже для чтения.
|
Вложений: 1
Жадные буржуи.... :ireful2: отменили бесплатный тариф для репозитория. Просят $50.
Цитата:
----------------------- Пока вот архив... Подумываю про свой собственный блог. |
Текущее время: 13:57. Часовой пояс GMT +3. |
ru-mangos.ru - Русское сообщество MaNGOS