Туториал McShop v2 [Гайд]

Скины отображаются, но плащи нет, скины выводит по адресу http://account.example.com/skin2d.php?skinpath=../example.com/folder/upload/skins/username.png, а плащи http://account.example.com/example.com/folder/upload/cloaks/username.png

 

плащи должны выводиться по адресу http://example.com/folder/upload/cloaks/ а не http://account.example.com/example.com/folder/upload/cloaks/Как мне сделать что-бы они выводились по адресу http://example.com/folder/upload/cloaks/

 

Руки запилить ;D по стандарту что не получается не как? и да что ты за веб хостинг используешь? кривой наверное он если не руки

 

Кнопка "Выход" не функционирует!

 

Можешь ее вырезать, или повешать действие от DLE

 

Вырезал =) Спасибо за эту привязку

 

У кого работает плагин GetItem на версии 1.5; 1.4.7?
Чем его можно заменить у меня он не работает.

 

Ошибка когда жму "Отключить" услугу:

 

Переделкой ридема http://alexandrage.dyndns.org:8081/shop.jar
Команда /shop
права - shop.get.
Плагин простой не страдает болезнями версий ведра, и совместим с essentials chat.

 

Нет таблицы permissions_inheritance

 

Спасибо, выручил =)

 

Проблемы большие, помогите ((((
1. Не могу добавить новость, при нажатии на кнопку "Сохранить" просто тупо выкидывает с аккаунта. не ошибки, ничего нет.
2. Не покупаются блоки, при попытке купить - авторизация проходит под названием блока. (скриншот: http://i.shotnes.com/a/21/05pzdqsu.3he_514b04d26402a.png)
3. Попробовал пополнить счёт (реальные деньги) в интеркассу пришло всё, всё хорошо, но на счёт в магазине так и не зачислилось.
Магазин стоит в поддомене, да и даже пробовал на отдельном домене (пустом, только магазин стоял) - тоже самое... Помогите

 

1. ХЗ
2. Выруби "Register Globals" в php.ini
3. Распространенная проблема (ищи по теме фикс)

 

Больше спасибо, как только вырубил Register Globals - заработали и новости, и покупка блоков!!! Осталось последняя проблема, но думаю в теме найду

 

Так и не нашёл фикса для Неверный ID платежа. В таблице поле money есть, конфиги настроены, но все равно, при оплате Неверный ID платежа. Помогите, интеркассу тоже настроил

 

Кто может подсказать, где именно есть дыры с SQL-инъекцией?

 

Доброго времени суток, нашел один баг (может это и не баг, но все же). Если когда логинишся ввести после своего ника пробел, скины будут загружаться в таком формате: username .png

 

Это уже дыра в скрипте.
Фикс.

PHP:

if(isset($_POST['user'])) {
$login = mysql_escape_string($_POST['user']);
$postPass = mysql_escape_string($_POST['password']);
 
    if (!preg_match("/^[a-zA-Z0-9_-]+$/", $login) || !preg_match("/^[a-zA-Z0-9_-]+$/", $postPass)) {
 
        echo    header("Location: index.php?error");
 
    exit;
    }

 

Это я использовал для заливки шелла

Спойлер

user=MYLOGIN' or '.php
password='mypassword'
Скин заливается MYLOGIN\\\'+or+\\\'.php.png и работает как скрипт

 

И фикс 2 дыры с регистром ников. (Небольшое исправление 2 фикса)

PHP:

    return $cryptPass;
}
                if ($crypt == 'hash_md5' || $crypt == 'hash_authme' || $crypt == 'hash_xauth' || $crypt == 'hash_cauth' || $crypt == 'hash_joomla' || $crypt == 'hash_wordpress' || $crypt == 'hash_dle' || $crypt == 'hash_drupal')
                {
                    $row = mysql_fetch_assoc(mysql_query("SELECT $db_columnUser,$db_columnPass FROM $db_table WHERE $db_columnUser='$login'"));
                    $realPass = $row[$db_columnPass];
                    $realUser = $row[$db_columnUser];
                }
 
                if ($crypt == 'hash_ipb' || $crypt == 'hash_vbulletin')
                {
                    $row = mysql_fetch_assoc(mysql_query("SELECT $db_columnUser,$db_columnPass,$db_columnSalt FROM $db_table WHERE $db_columnUser='$login'"));
                    $realPass = $row[$db_columnPass];
                    $realUser = $row[$db_columnUser];
                    $salt = $row[$db_columnSalt];
                }
 
                if ($crypt == 'hash_xenforo')
                {
                    $row = mysql_fetch_assoc(mysql_query("SELECT $db_table.$db_columnId,$db_table.$db_columnUser,$db_tableOther.$db_columnId,$db_tableOther.$db_columnPass FROM $db_table, $db_tableOther WHERE $db_table.$db_columnId = $db_tableOther.$db_columnId AND $db_table.$db_columnUser='$login'"));
                    $realPass = substr($row[$db_columnPass],22,64);
                    $realUser = $row[$db_columnUser];
                    $salt = substr($row[$db_columnPass],105,64);
                }
                    if ($realPass)
                    {
                        $checkPass = $crypt();
 
                        if(strcmp($realPass,$checkPass) == 0)
                        {
                            $sessid = generateSessionId();
                            $dlticket = md5($login);
                            $_SESSION['id'] = $sessid;
                            if($crypt == 'hash_authme') $login = strtolower($login);
                            $_SESSION['name'] = $realUser;
                            $_SESSION['password'] = md5(md5($postPass));
                            header("Location: index.php");
                        }
                        else
                        {
                            header("Location: index.php?error");
                        }
                    }