19 Mar
Una vez solucionado el primer fallo por mi parte, porque no se puede llamar ni vulnerabilidad me toca dar un paso más.
Así que os reto a que explotéis alguna vulnerabilidad del CMS, lo podéis encontrar en tonsofweed y es todo vuestro, si tenéis un rato y os queréis entretener intentando encontrarle algún fallo quedaréis satisfechos.
Lo único que pido a cambio es que el que consiga “romper” algo luego me lo diga, más que nada que para cuando lo solucione le ponga por aquí un link y explique lo sucedido.
Error 1: Tengo que decir en mi defensa que me dio pereza cambiar la forma de mostrar los errores de login y por eso lo dejé así, no pensaba que os fijarais en eso -sois buenos. Lo he solucionado con una variable de session. Gracias alex
Error 2: Esto si que no me lo esperaba, supongo que ya está arreglado, simplemente he quitado los or die(error()) de las consultas a la Base de datos. Gracias IgnacioMarcos
12 Mar
Un sencillo hack para incluir la fecha actual en un campo de MySQL, bastante sencillo e incluso algo obvio pero me costó un rato darme cuenta de que era la mejor opción.
$query = "INSERT INTO posts (title, content, date) VALUES('$title','$post',now())";
11 Mar
Siento mucho que estos días no le esté dando mucha caña al blog, pero nació para ayudarme a aprender programación y aunque no haya actividad en el está cumpliendo su cometido.
Hace unos días probé tumblr y me gustó la idea, un blog fácil de usar, en el que tanto postear como leer sea algo sencillo y directo, el único fallo que le encuentro es la falta de comentarios. No se como se dio la cosa que llegué a la conclusión de que necesitaba hacerme mi propio CMS y en ello estoy.
He avanzado un poco, de momento tengo un sistema muy sencillo, con el cual posteo y punto, estos posts pasan al index, todo muy sencillo, sin links ni comentarios ni nada. Espero conseguir algo decente en unos meses, pero para ello necesito vuestra ayuda. Creo que con lo que más problemas voy a tener va a ser el feed, aunque ya se verá.
Con todo esto a lo que le daré más caña en este blog será a ensamblador, ya que con el PHP trabajaré en la sombra y solo iré comentando pequeños hacks o preguntando sobre algunos temas.
07 Mar
La manera de añadir listas de tareas y tareas es bastante simple, la manera de enviar los datos ya le he explicado varias veces, igual que la de recibirlos. Soy consciente de que esta parte se pasa por el forro la seguridad, pero no es lo que más me preocupaba a la hora de montarlo.
Como este blog lo empecé para ir aprendiendo, los temas como este -que tengo bien asentados- no los voy a explicar cada vez y lo doy por sabidos. Si alguien tiene alguna duda puede preguntar y explicaré lo mejor que pueda o también puede leerse los posts anteriores.
addlist.php
<?
include("connect.php");
$name = $_POST["name"];
$query = "INSERT INTO list (nombre) VALUES('$name')";
mysql_query($query) or die(mysql_error());
header ("Location: /todo");
?>
addtodo.php
<?
include("connect.php");
$todo = $_POST["todo"];
$list = $_POST["list"];
$query = "INSERT INTO todo (todo, idLista) VALUES('$todo','$list')";
mysql_query($query) or die(mysql_error());
header ("Location: /todo");
?>
completo.php
<?
include("connect.php");
$id = $_GET['id'];
$sql = mysql_query("SELECT completo FROM todo WHERE idTodo = '$id'");
$row=mysql_fetch_array($sql);
if ($row['completo']==0) {
$i=1;
} else {
$i=0;
}
$query = mysql_query("UPDATE todo SET completo = '$i' WHERE idTodo = '$id'");
header ("Location: /todo");
?>
