Post

1

Articoli della community / Re:Come rendere sicuro Joomla contro attacchi degli hacker

« il: 23 Dic 2009, 12:11:47 »

Ci sarebbe una cosa che mi lascia poco tranquillo per quanto riguarda la sostituzione del prefisso jos_ delle tabelle.

cercando tutti i jos_ presenti nel mio sito (ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ ) dicevo.. cercando i miei jos_ ho visto che ci sono altri file oltre configuration.php che in teoria dovrebbero essere modificati. Mi riferisco ai seguenti:

libraries/joomla/config.php
libraries/joomla/database/database/mysql.php
libraries/joomla/database/database/mysqli.php
libraries/joomla/database/database.php

In questi file si fa riferimento al jos_.

Che ne pensate?

Ciao sauro.
A questo proposito starei tranquillo. L'importante è che, dopo aver cambiato i prefissi alle tabelle, venga modificato il prefisso presente nel file configuration.php.

Quei valori che tu hai, giustamente indicato, sono per la maggior parte dichiarazioni di valori di default per delle variabili.
Nel caso ad esempio della variabile $prefix dichiarata nel file mysql.php o database.php il valore viene assegnato prelevandolo dai parametri di configurazione (presenti in configuration.php) e, solo nel caso che non fosse presente il parametro prefix, viene assegnato per default il valore 'jos_'

(ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ )

Questo invece può essere un vero problema.
Se hai creato tu delle queries e non hai usato il prefisso #__ potresti riscontrare degli errori.

Ma la regola vuole che quando si scrive una query e la si passa al framework con il metodo setQuery il prefisso #__ (che non è generico ) venga sostituito con il prefisso indicato nei parametri di configurazione.

Considera il rpefisso #__ come un carattere jolly che verrà sostituito con il vero prefisso delle tabelle.

Grazie per i chiarimenti.

2

Articoli della community / Re:Come rendere sicuro Joomla contro attacchi degli hacker

« il: 22 Dic 2009, 15:32:00 »

Ci sarebbe una cosa che mi lascia poco tranquillo per quanto riguarda la sostituzione del prefisso jos_ delle tabelle.

cercando tutti i jos_ presenti nel mio sito (ci sono diverse queries al database aggiunte da me ed invece di usare il prefisso generico #__ ho messo tutti jos_ ) dicevo.. cercando i miei jos_ ho visto che ci sono altri file oltre configuration.php che in teoria dovrebbero essere modificati. Mi riferisco ai seguenti:

libraries/joomla/config.php
libraries/joomla/database/database/mysql.php
libraries/joomla/database/database/mysqli.php
libraries/joomla/database/database.php

In questi file si fa riferimento al jos_.

Che ne pensate?

3

Articoli della community / Re:Come rendere sicuro Joomla contro attacchi degli hacker

« il: 21 Dic 2009, 20:04:23 »

Allora.. ho attivato la modifica del file htaccess e pare che non dia problemi alla mappa del sito generata da xmap.

Ho provato a chiamare un qualsiasi file xml da browser ma, giustamente, mi viene negato l'accesso. Mentre il file generato da xmap è accessibile (chiamato con la url dinamica generata da xmap).
Buon Natale a tutti!

4

Articoli della community / Re:Come rendere sicuro Joomla contro attacchi degli hacker

« il: 21 Dic 2009, 16:20:31 »

Grazie per la risposta celere.
Se non ricordo male la modifica al file htaccess deve essere attivata. Cioè, bisogna togliere i vari # davanti alle seguenti righe.

#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>

Almeno mi pare così nell'aggiornamento, non so nel pacchetto completo di joomla.

5

Articoli della community / Re:Come rendere sicuro Joomla contro attacchi degli hacker

« il: 21 Dic 2009, 15:51:56 »

Salve. Ho letto tutti i post ed ho seguito i consigli. Mi chiedo solo una cosa: per quanto riguarda la modifica al file htaccess che dovrebbe impedire la lettura dei file xml, è possibile che impedisca di far funzionare la mappa del sito xml per i motori di ricerca?
Grazie, ciao.

6

Installazione, migrazione e aggiornamento / aggiornamento .htaccess e xmap

« il: 12 Nov 2009, 08:47:59 »

Probabilmente la mia è una domanda stupida... visto che l'aggiornamento del file .htaccess riguarda l'impedimento della lettura di file xml è possibile che si crei qualche problema con google e la mappa xml del sito generata da xmap o altri componenti?

7

Joomla! 1.5 / Re:Aggiornamento disponibile per Joomla 1.5.13

« il: 24 Lug 2009, 18:53:04 »

Rispondo a erregi. Ho dato un'occhiata all'altra discussione. Ora mi è più chiaro l'inghippo e credo ci sia poco da aggiungere. Io per l'upload di files lato utente ho adottato una soluzione artigianale. Ti dico i particolari se sei interessato.. comunque ho preso una class upload su verot.net (licenza 15 euro non necessaria per uso privato), mi pare (ho scarsa memoria) e l'ho inserito nel sistema joomla  creando un nuovo componente  reso visibile nel modulo di creazione nuovi articoli tramite un iframe. Non te lo consiglio se non hai un minimo di dimestichezza con il php.

8

Joomla! 1.5 / Re:Aggiornamento disponibile per Joomla 1.5.13

« il: 24 Lug 2009, 17:58:29 »

Lo farò ma a me, per motivi che adesso non sto a dire, serve proprio l'editor di default nella versione semplice e possibilmente quello vecchio. Credo che lo lascerò nella versione aggiornata di joomla. Già ho fatto la prova in locale e pare che va bene ma non ne sono tanto sicuro.

9

Joomla! 1.5 / Re:Aggiornamento disponibile per Joomla 1.5.13

« il: 24 Lug 2009, 17:06:22 »

Salve. Il mio sito è ancora nella versione 1.5.11 e vorrei aggiornarlo ma considerando che a me il nuovo editor crea solo problemi (risolvibili per carità.. non mi funziona un javascript di controllo e devo eliminare il bottone per passare da editor a non editor.. non mi pare ci sia l'opzione nativa per eliminarlo) e che la 1.5.13 sia stata rilasciata principalmente per risolvere i problemi della 1.5.12 mi conviene effettivamente fare l'aggiornamento? Credo di si perchè in genere è sempre meglio ma la domanda vera che voglio fare è: posso lasciare la cartella editor invariata e sostituire solo gli altri files?

10

Sviluppo / url edita articolo

« il: 04 Giu 2009, 14:54:17 »

Salve. Non sono uno che possa definirsi uno sviluppatore ma credo di essere nel posto giusto per risolvere il mio problema se problema è.
Ho creato un modulo usermenu specifico per il mio sito in modo tale da inserire nello stesso menu i link per caricare le immagini nella galleria dell'utente, inserire eventi e per raggiungere l'articolo del medesimo utente (autor) da editare. L'eventuale problema sta in questo ultimo link. Premessa: Se sono loggato come utente e raggiungo il mio articolo, vicino al titolo compare la matitina link per raggiungere la pagina di editazione. Una url di esempio abbinata è la seguente:  "index.php?option=com_content&Itemid=1&id=37&lang=it&ret=aHR0cDovLzEyNy4wLjAuMS95bzMv&task=edit&view=article".
Prima domanda: a cosa serve la codifica inserita nella url? Nel mio modulo, se uso questa stessa url (ovviamente cambiando l'id articolo con una query al database) funziona perfettamente con tutti gli utenti se uso il mio computer mentre se ne uso un altro, riesco sempre a raggiungere l'articolo da editare ma se esco dalla pagina di editazione usando "annulla" o "salva", invece di tornare alla home compare lo spazio content vuoto.
Avrei risolto riducendo la url senza la codifica in questo modo: "index.php?option=com_content&Itemid=1&id=37&lang=it&task=edit". Però mi chiedo, quella codifica deve pur servire a qualcosa. Se non sbaglio dovrebbe essere generata dal file components/com_content/helpers/icon.php (alla riga 109 c'è questo "$url = 'index.php?view=article&id='.$article->slug.'&task=edit&ret='.base64_encode($ret);"
Purtroppo non ho il tempo per studiarmi la cosa e se qualcuno mi aiuta mi fa un gran piacere. Ciao

11

Sicurezza / Re: proteggersi da SQL injections

« il: 27 Apr 2009, 20:38:29 »

Sempre secondo il principio che magari la cosa fa comodo a qualcuno... alla fine ho capito in quale file bisogna inserire i controlli lato server per i vari componenti.

Per esempio: libraries/joomla/database/table/user.php.

Tra l'altro in questo file avevo già inserito le nuove variabili dei campi aggiunti nel form di iscrizione (veramente non mi ricordo dove ho letto tutta la procedura per aggiungere nuovi campi nei form di joomla però da qualche parte in rete sta scritta!). Nel file c'è una funzione che controlla se i campi sono vuoti o la email non è in formato valido. Nella funzione è piuttosto semplice inserire altri controlli riferiti alle nuove variabili usando le espressioni regolari.  Poi si, per quanto riguarda i problemi di SQL injections, caratteri di escape e magic_quotes (che ho visto è "on") ho letto qualcosa e sarebbe da approfondire la questione ma quello che cercavo adesso era poter controllare miratamente i campi e rimandare dei messaggi di errore nel caso javascript sia disattivato. Già, perchè, come è successo a me, ho fatto tutto un javascript della miseria per far scrivere solo delle determinate cose nei campi per poi scoprire che se javascrip è disattivato e premo il tasto invio da tastiera il submit parte anche con la metà dei campi vuoti..  scusate per la forma ma ho scritto in fretta, ciao

12

Sicurezza / Re: proteggersi da SQL injections

« il: 27 Apr 2009, 14:10:36 »

Grazie per i suggerimenti. Adesso cercherò di attuarli!

13

Sicurezza / proteggersi da SQL injections

« il: 27 Apr 2009, 11:56:27 »

Salve. Ho personalizzato il form di invio articoli lato utente ed il form register con l'aggiunta di alcuni campi seguendo un tutorial reperito in un forum (non mi ricordo in quale). Ho fatto un javascrip di controllo sui dati inseriti e tutto funziona bene ma non ho proprio capito se anche nel server devo inserire nuovi controlli, e non saprei neanche come fare, oppure, se già com_content e com_user prevedono controlli sulla pesenza di codice dannoso in tutti i campi presenti nei forms di loro competenza.  Qualcuno mi saprebbe dire...grazie.

14

Sezione dedicata ai Server / Re: dopo update vista xampp morto! RISOLTO

« il: 15 Mar 2009, 14:50:59 »

Ho risolto utilizzando e capendo meglio Easyphp 3.

Sostanzialmente, a differenza di xampp, dove la url per raggiungere il sito è in forma http://localhost/.. , in easyphp è http://127.0.0.1/...(almeno nel mio caso ... non ho approfondito oltre.. funziona e mi basta!).

Ciao.

15

Sezione dedicata ai Server / Re: dopo update vista xampp morto!

« il: 15 Mar 2009, 12:06:54 »

Confermando le circostanze o coincidenze dette in precedenza sembrerebbe che gli aggiornamenti di windows non c'entrino con il mio problema. Nonostante avessi bloccato gli aggiornamenti, di nuovo, di colpo, non sono più riuscito a collegarmi al server locale. Poi, come controprova, nel computer di mia figlia (con vista aggiornato) nessun problema.

Fatto sta che a me il server in locale non funziona più e non so che pesci pigliare. Forse installando tutte le componenti di xampp separatamente potrei risolvere qualcosa ma la sensazione è che sarebbe una fatica inutile e che il problema risieda da qualche altra parte.... naturalmente sarei felicissimo se qualcuno sapesse darmi una dritta! Ciao

16

Sezione dedicata ai Server / Re: dopo update vista xampp morto!

« il: 12 Mar 2009, 23:30:00 »

Con easyphp riesco ad accedere al database ma non vedo il sito. Prima ho importato le cartelle del vecchio sito nel database e poi ho messo tutti i files nella cartella www. Più o meno lo stesso procedimento che con xampp funzionava.
Alla fine ho riportato il registro di sistema a prima degli aggiornamenti, ho reinstallato xampp, e tutto ha funzionato. Sembra che la colpa sia proprio di questi ultimi aggiornamenti di Vista. Strano è se capita solo a me!

17

Sezione dedicata ai Server / Re: dopo update vista xampp morto!

« il: 12 Mar 2009, 16:44:59 »

Non saprei dire... a me comunque è successo proprio così.. avevo intuito la causa quando è successo la prima volta ed ora, dopo che è ricapitato, ne ho la conferma.
Quando dico che localhost è sparito intendo dire che prima, componendo la url http://localhost/  appariva una pagina con vari parametri e l'accesso al database mentre ora appare il classico avviso di indirizzo non trovato.

Proverò con le indicazioni che mi avete dato. Grazie

18

Sezione dedicata ai Server / dopo update vista xampp morto! RISOLTO

« il: 12 Mar 2009, 13:36:56 »

Prima era un dubbio adesso una certezza. Dopo l'update automatico di vista localhost non esiste più. La prima volta ho risolto facendo il ripristino di sistema poi, proprio stamattina, nuovo update automatico di vista e di nuovo sito in locale sparito.. è proprio localhost che non si raggiuge più, neanche attraverso il pannello di controllo di xampp. Qualcuno ha lo stesso problema e lo ha risolto?

19

SEO / sfoltimento url con sh404sef

« il: 02 Nov 2008, 02:23:11 »

Salve. Forse qualcuno potrebbe schiarirmi le idee. Ho installato insieme a joomla 1.0.5 sh404sef e jcalpro. Ho una grande produzione di url sef che riguardano tutte le possibili ricerche tramite jcalpro, anche se non c'è neanche un evento nel sito!?.. e sono costretto a sfoltimenti frequenti. Il che, da come ho letto da qualche parte, non è molto gradito ai motori di ricerca. Giusto O no? Eventualmente, cosa dovrei esattamente scrivere nel file robots per impedire agli spiders di considerare tutte le url tipo, eventi/mese, eventi/del giorno ecc. ecc. E per ultimo, se do in pasto a google una mappa del sito in xml non dovrebbe concentrarsi su quella e non prendersela se non trova più qualche url sfoltita? Grazie, ciao.

20

Editor / disabilitare funzioni jce

« il: 04 Giu 2008, 11:52:23 »

Salve. Qualcuno mi saprebbe dire come disabilitare su jce lo spostamento ed il ridimensionamento delle immagini tramite dragging?