Browse Source

Mise à jour de sécurité, update recommandé :)

Idleman 6 years ago
parent
commit
fb7e26faef
4 changed files with 9 additions and 23 deletions
  1. 1 20
      Functions.class.php
  2. 7 3
      action.php
  3. 1 0
      logs/.htaccess
  4. 0 0
      logs/nothing.txt

+ 1 - 20
Functions.class.php

@@ -10,7 +10,7 @@ class Functions
 {
 	private $id;
 	public $debug=0;
-	const CRYPTKEY = 'zr_e65$^vg41^948e*586"';
+
 	/**
 	 * Securise la variable utilisateur entrée en parametre
 	 * @author Valentin
@@ -262,26 +262,7 @@ class Functions
 		fclose($fichier);
 	}
 
-	public static function crypt($string,$key=Functions::CRYPTKEY){
-		$key = sha1($key);
-		$return = '';
-		for ($i = 0; $i<strlen($string); $i++) {
-			$kc = substr($key, ($i%strlen($key)) - 1, 1);
-			$return .= chr(ord($string{$i})+ord($kc));
-		}
-		return base64_encode($return);
-	}
 
-	public static function decrypt($string,$key=Functions::CRYPTKEY){
-		$key = sha1($key);
-		$return = '';
-		$string = base64_decode($string);
-		for ($i = 0; $i<strlen($string); $i++) {
-			$kc = substr($key, ($i%strlen($key)) - 1, 1);
-			$return .= chr(ord($string{$i})-ord($kc));
-		}
-		return $return;
-	}
 
 	public static function convertFileSize($bytes)
 	{

+ 7 - 3
action.php

@@ -3,7 +3,7 @@
 /*
  @nom: action
  @auteur: Idleman (idleman@idleman.fr)
- @description: Page de gestoin des evenements non liés a une vue particulière (appels ajax, requetes sans resultats etc...)
+ @description: Page de gestion des évenements non liés a une vue particulière (appels ajax, requetes sans resultats etc...)
  */
 
 if(!ini_get('safe_mode')) @set_time_limit(0);
@@ -129,6 +129,7 @@ switch ($_['action']){
 
 
 	case 'exportFeed':
+			if($myUser==false) exit('Vous devez vous connecter pour cette action.');
 				/*********************/
 			/** Export **/
 			/*********************/
@@ -161,6 +162,7 @@ switch ($_['action']){
 	
 
 	case 'importForm':
+		if($myUser==false) exit('Vous devez vous connecter pour cette action.');
 		echo '<link rel="stylesheet" href="templates/marigolds/css/style.css"><form action="action.php?action=importFeed" method="POST" enctype="multipart/form-data"><h2>Importer les flux au format opml</h2>
 					<p>Fichier OPML : <input name="newImport" type="file"/> <button name="importButton">Importer</button></p>
 					<p>Nb : L\'importation peux prendre un certain temps, laissez votre navigateur tourner et allez vous prendre un café :).</p></form>
@@ -292,8 +294,8 @@ switch ($_['action']){
 
 	case 'removeFolder':
 		if($myUser==false) exit('Vous devez vous connecter pour cette action.');
-		if(isset($_['id'])){
-			$eventManager->customExecute('DELETE FROM '.MYSQL_PREFIX.'event WHERE '.MYSQL_PREFIX.'event.feed in (SELECT '.MYSQL_PREFIX.'feed.id FROM '.MYSQL_PREFIX.'feed WHERE '.MYSQL_PREFIX.'feed.folder ='.intval($_['id']).') ;');
+		if(isset($_['id']) && is_numeric($_['id']) && $_['id']>0){
+			$eventManager->customExecute('DELETE FROM '.MYSQL_PREFIX.'event WHERE '.MYSQL_PREFIX.'event.feed in (SELECT '.MYSQL_PREFIX.'feed.id FROM '.MYSQL_PREFIX.'feed WHERE '.MYSQL_PREFIX.'feed.folder =\''.intval($_['id']).'\') ;');
 			$feedManager->delete(array('folder'=>$_['id']));
 			$folderManager->delete(array('id'=>$_['id']));
 		}
@@ -311,10 +313,12 @@ switch ($_['action']){
 	break;
 
 	case 'addFavorite':
+		if($myUser==false) exit('Vous devez vous connecter pour cette action.');
 		$eventManager->change(array('favorite'=>'1'),array('id'=>$_['id']));
 	break;
 
 	case 'removeFavorite':
+		if($myUser==false) exit('Vous devez vous connecter pour cette action.');
 		$eventManager->change(array('favorite'=>'0'),array('id'=>$_['id']));
 	break;
 	

+ 1 - 0
logs/.htaccess

@@ -0,0 +1 @@
+deny from all

+ 0 - 0
logs/nothing.txt