Post

1

Joomla! 1.6/1.7/2.5 / Re:Problema di sicurezza quando si effettua una richiesta HTTP

« il: 31 Dic 2013, 00:04:14 »

Ho effettuato altri test, il primo errore che ho elencato avviene quando:
-> se eseguo un ping es. tramite Visual Route
-> appena prima che un attaccante lancia un attacco (quindi mi richiede l'head), infatti la richiesta successiva è un URL codificato


.. a voi succede?

2

Joomla! 1.6/1.7/2.5 / Problema di sicurezza quando si effettua una richiesta HTTP

« il: 30 Dic 2013, 22:52:36 »

Ciao a tutti, come da oggetto ho notato sul mio sever che ogni qualvolta trovo una richiesta header del tipo:


"HEAD / HTTP/1.0" 200 - "-" "-"


nel file access di apache, trovo il seguente errore nel log errori joomla di apache:


 PHP Warning:  Invalid argument supplied for foreach() in /home/mydir/public_html/libraries/joomla/string/string.php on line 970


in alcuni casi l'errore diventa:
[29-Dec-2013 14:02:36 Europe/London] PHP Warning:  mysqli_free_result() expects parameter 1 to be mysqli_result, boolean given in /home/mydir/public_html/libraries/joomla/database/database/mysqli.php on line 512


inoltre, non so se è un caso ma ho sempre il log pieno di:
PHP Warning:  Illegal string offset '*' in /home/mydir/public_html/plugins/system/languagefilter/languagefilter.php on line 429


in questo caso a random.


Spero che qualcuno di voi possa aiutarmi, preciso che ho notato un aumento subito dopo l'aggiornamento a Joomla 2.5.17 , grazie.

3

Sviluppo / Re:Dubbio su sanificazione input!

« il: 06 Ott 2013, 10:09:23 »

si l ho letto il link ma non so comuque cosa mi filtra il tipo CMD piuttosto che HTML ecc.. posso solo vederlo facendo prove su prove..
in definitiva soffermandoci sul singolo esempio del salvataggio HTML puro in DB, potresti aiutarmi solo con quello?

ho un form, inserisco HTML, salvo su db. (fine)
grazie

4

Sviluppo / Re:Dubbio su sanificazione input!

« il: 05 Ott 2013, 12:54:36 »

Il problema in generale é più complesso e non saprei come spiegartelo senza esempi pratici o un foglio e una penna.... oltre al come filtrare esiste il dove filtrare e può non essere un unico punto.
Filtrare una request non vuol dire trovarsi dati puliti da scrivere nel DB e anche i problemi generati sono diversi.Credo possa diventare molto interessante l'intervento in programma al jday  proprio su qs argomento

Per salvare del codice é basilare almeno neutralizzare i tag che ne consentono l'interpretazione

Quindi mi stai dicendo di usare l'array globale $_POST['']e da li utilizzarlo a seconda dei casi? Il problema è che non so proprio i tipi di cast, non saprei cosa usare per una variabile che deve contenere dei valori piuttosto che altri..

5

Sviluppo / Re:Dubbio su sanificazione input!

« il: 01 Ott 2013, 17:54:58 »

http://docs.joomla.org/Retrieving_request_data_using_JInput

Grazie per la dritta, uso jinput ma ho enromi difficoltà riguardo i dbquote, escape ecc.. per esempio ora che voglio salvare html puro nel db , utilizzando:
$jinput->get('message', null,'HTML');
oppure
$jinput->get('message', null,'RAW');
o qualunque altro, l'html mi viene tagliato fuori,

6

Sviluppo / Dubbio su sanificazione input!

« il: 25 Set 2013, 17:43:42 »

Penso sia l'argomento più trattato sul web e proprio per questo che ho una confusione assurda!
Se qualche utente paziente potesse darmi una mano ben venga.

PHP 5.4 + Joomla 2.5.14

Sto terminando il mio componente e sto cercando di avere molta cura e attenzione su eventuali bug (SQL INJECTION ).
I campi che io richiedo in tutto il componente sono:
- numeri 0-9 in cui effettuo INT (UINT)
- variabili testuali in cui effettuo il controllo == (esempio if ($action!='save') return; )
- numeri di telefono (in cui non posso effettuare l'int dato che mi esce fuori un numero assurdo)
 - codici alfanumerici (AA99CCDD) di lunghezza prestabilita
 - 1 campo HTML libero
legenda : campi in rosso: le mie paure | campi in verde: quelli che penso siano sicuri al 100%

ho un pò di timore su come trattare questi dati, premetto che effettuo l'escape e il cast degli INT nella query ma per altri campi (quelli in rosso) non so come comportarmi, è sufficiento un preg_match?

Grazie anticipatamente.

7

Sviluppo / Re:Session che non si salva in alcune pagine

« il: 25 Set 2013, 17:35:56 »

@ndomiano
Il codice che usi mi sembra ok, ma la funzione clear non la conosco (anche se a naso mi sembra buona).

La documentazione joomla riporta questo uso:

$session =& JFactory::getSession(); 
$session->set( 'myvar', 'helloworld' );

$session =& JFactory::getSession(); 
echo 'Session variable myvar has value: ' . $session->get( 'myvar', 'empty' );

Prova a usare questo esempio e vedi se funziona.

Altri controlli che devi fare li trovi qui:
http://forum.joomla.org/viewtopic.php?f=622&t=724773#p2828589

In questo caso hanno scoperto che la versione di PHP non era compatibile.

Ho effettuato l'upgrade da PHP 5.3.13 a 5.4.4 e sembra che il problema sia risolto. Sembra, dato che in alcune parti del componente, se non uso un NAMESPACE, il problema mi si ripresenta.

Non metto ancora risoltofinchè non effettuo ulteriori test.

8

Sviluppo / Re:Creare voci Link nel Core per sezioni del mio componente

« il: 03 Set 2013, 23:20:46 »

nothing? 

9

Sviluppo / Re:Session che non si salva in alcune pagine

« il: 03 Set 2013, 23:19:58 »

a parte critiche , nessuno sa piu o meno aiutarmi? 

10

Sviluppo / Re:SESSION CHE NON SI SALVA IN ALCUNE PAGINE

« il: 30 Ago 2013, 01:27:22 »

per favore non scrivere i titoli in maiuscolo che ci rendono molto nervosi
anzi se editi ti ringraziamo!

e siete troppo tesi allora. stop altrimenti OT.

11

Sviluppo / Re:Session che.. si dimentica

« il: 29 Ago 2013, 17:21:17 »

E' piu complicato di quanto pensassi, in realtà non funziona neanche settando la variabile con $_SESSION['NOME']='VALORE'.

Ho provato di tutto, in alcune pagine funziona e in altre no, inutile dire che ho tolto riferimenti, testato pagine vuote ecc...

Mi sto concentrando su far funzionare questa banalità di session su di una particolare pagina VUOTA ma ripeto: il dato inserito in session ha validità solo ed esclusivamente per quel refresh di pagina...
PLEASE H E L P  M E !!

12

Sviluppo / Session che non si salva in alcune pagine

« il: 28 Ago 2013, 02:41:53 »

Sto iniziando ad usare  il metodo
$session = JFactory::getSession();

in questo modo:
   
$session->set('var',1);
$variabile=$session->get('var',null);

e (quando serve)
$session->clear('var');

stranamente su alcune pagine, il dato in sessione permane soltanto per quella visualizzazione di pagina, se apro la stessa pagina con un altra tab del browser e ovviamente tolgo il set sessione, la variabile non risulta settata,,,, su altre pagine invece va perfettamente... sapete indicarmi dove sbaglio?

JOOMLA 2.5.11

13

Sviluppo / Re:Creare voci Link nel Core per sezioni del mio componente

« il: 25 Ago 2013, 21:00:18 »

Effetticamente e una parte un po cobtorta. Io credo di aver capito che la seconda parte ovvero il parseroute viene invocato nel momento del click e quindi del redirect vero e proprio mentree il build lo invoca il jroute per realizzare i link. Al momento del click dunque viene chiamato build che passa l array segments al parse, quest ultimo non viene chiamato quando la pagina genera il link JROUTe. Giusto?

Si è proprio così, sto capendo come funziona:
-se il link viene generato da un menu la struttura sarà: /miodominio/category(alias menu)
-se viene generato dall'interno del mio componente con JROUTE sarà: /miodominio/category(alias menu)/view/layout (parametri che io stesso passo al link)

ho un altro problema OVVIAMENTE 
come faccio ad attivare una voce di sottomenu che effettivamente non appartiene al menu padre?
esempio voci di menu:
-articoli->giugno
voce padre 'articoli', figlio 'giugno', correttamente joomla 'attiva' graficamente le voci di menu,

MA SE VOLESSI..
-articoli->lista generale
dove 'lista generale' appartiene ad un altra view del mio componente e questa view non posso collegarla direttamente ad un menù perchè NON  ci si può accedere direttamente (ma solo tramite procedure interne del componente)?
risolverei mettendo la voce sotto 'articoli' ma joomla non permette di nasconderla!

 

14

Sviluppo / Re:Creare voci Link nel Core per sezioni del mio componente

« il: 16 Ago 2013, 18:08:43 »

forse allora sbagli nella seconda parte del router.php ovvero nella funzione parse route, ovvero associ male le variabili che hai preso nella funzione prima, scusa ma e veramente difficile aiutarti in questa parte

Effetticamente e una parte un po cobtorta. Io credo di aver capito che la seconda parte ovvero il parseroute viene invocato nel momento del click e quindi del redirect vero e proprio mentree il build lo invoca il jroute per realizzare i link. Al momento del click dunque viene chiamato build che passa l array segments al parse, quest ultimo non viene chiamato quando la pagina genera il link JROUTe. Giusto?

15

Sviluppo / Re:Creare voci Link nel Core per sezioni del mio componente

« il: 16 Ago 2013, 12:11:00 »

jroute non centra nulla, se ti mette 2 volte user nel path vuole dire he nel file router.php del tuo componente hai fatto 2 volte un unset nella funzione buildroute del tuo componente che ti prende 2 volte una variabile  user. Comunque cercare di capire questi problemi è pressoche impossibile, per me il tuo problema e ancora prima, in generere l'itemid si recupera in una classe a se come fa il com_contenten nel file helpers/route.php.

ho visto come fa il com_content, si affida al metodo $app->getMenu('site');, io ho seguito quello di virtuemart che è pressocchè identico ma utilizzo una mia query per cercarmi la voce di menu creando un array con tutte le voci/id del componente in questione.
Ho controllato la funzione buildroute e oltre a  unset( $query['view'] ); e  unset( $query['task'] ); non effettuo alcun unset.
Da precisare che se strutturo il sito in menu collegando le varie voci in modo nativo con joomla non ho problemi, ma se printo un link con JROUTE accade ciò, sia dentro la pagina del componente che in una pagina esterna al componente stesso.

P.s. simone , il secondo /user é il nome della view non e una replicazione dell alias menu

16

Sviluppo / Re:Creare voci Link nel Core per sezioni del mio componente

« il: 16 Ago 2013, 09:54:36 »

Dici? Ma qualsiasi componente ho visto parte da index.php nessun altro usa il path completo, come mai? Comunque domani provo ma non vedo perche a me si comporta diversamente ..

Niente, con l'indirizzo completo addirittura JROUTE non lo risconosce, ma effettivamente nel manuale si parla di indirizzo da index.php... in poi. provato con xhtml true,  ssl a -1, 0, 1. nulla da fare.
Praticamente il primo '/user' è l'alias di menu, il secondo è :
<?php echo JRoute::_('index.php?option=com_mycomponent&view=user', true, -1);?>

17

Sviluppo / Re:Creare voci Link nel Core per sezioni del mio componente

« il: 15 Ago 2013, 21:14:35 »

usa tutta la path non partire da index

Dici? Ma qualsiasi componente ho visto parte da index.php nessun altro usa il path completo, come mai? Comunque domani provo ma non vedo perche a me si comporta diversamente ..

18

Sviluppo / Re:Creare voci Link nel Core per sezioni del mio componente

« il: 15 Ago 2013, 15:00:46 »

Credimi. . Ho guardato in tutte quelle che non c era! Grazie mille.. mi metto subito a studiare!!

Ok, studiato.
Per adesso riesco a spostarmi nel mio componente tramite link JROUTE, in pratica:
ho creato router.php e in BuildRoute ho inserito la regola che va a prendere l'id del menu item e lo aggiunge all'array $query['Itemid'], in ParseRoute non ho dovuto fare nulla fino ad ora (possibile?).
il problema che ho adesso è il seguente:
-genero il link : <?php echo JRoute::_('index.php?option=com_mycomponent&view=user', false);?>
-in BuildRoute prendo l'id menu corrispondente al segmento 'index.php?option=com_mycomponent&view=user' e lo aggiungo all'array come descritto sopra
-TUTTO OK ma.. il link non mi diventa index.php/user ma index.php/user/user , da precisare che se cancello un '/user' manualmente mi rediretta comunque nella pagina giusta...
sicuramente sbagio qualcosa di banale..
qualche dritta? thanks!

19

Sviluppo / Re:Come programmare un evento sistematico stile 'servizio di windows'?

« il: 22 Lug 2013, 21:52:04 »

Ok. Mi sono documentato.

No mi spiego siccome nei tutorial parlano di script nella dir php mi sono confuso tutto qui.
Comunque  é questa la strada che prenderò, ho trovato in giro per la rete modifiche allo script per lanciarlo ogni X secondi dato che cron meno di un minuto non fa settare.

 grazie ancora.

20

Sviluppo / Re:Come programmare un evento sistematico stile 'servizio di windows'?

« il: 22 Lug 2013, 21:03:06 »

Come non detto.  Basta l url.


Sai dirmi gentilmente qualcosa da fare e non fare con CRON? (Soprattutto rischi e pericoli ecc...)

Aggiungo--》in effetti ho trovato sia chi usa script chi link . Ma penso che io sia obbligato alla scelta link poiche con uno script esterno dovrei star li ad importarmi tutte le classi di joomla e includere lo script nel framework, dixo giusto?