Автор Тема: Справка по FastCore  (Прочитано 319 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Rich-99000000Автор темы

  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 250 сообщений Репутация более 5 Топ 10 по сообщениям Благодарность от форума Более 10 созданных тем
  • Дата регистрации: Июль 2016
  • Возраст: 28
  • Сообщений: 460
  • Страна: ru
  • Поблагодарили: 136 раз(а)
  • Репутация +6/-2
  • Пол: Мужской
  • моды, сайты на заказ недорого >> ЛС
  • Дата рождения:
    1995-06-28
    Социальные сети:
    ВКонтакте
Справка по FastCore
« : 23 Февраля 2024, 17:24:35 »
Небольшой разбор с пояснением что за что отвечает в этом скрипте.

Так как корневой .htaccess не содержит строгих правил (что верно в построении расширяемых структур)

То, в отличии от FF параметры отображения страницы считываются из глобальной переменной $_SERVER, а конкретно из $_SERVER['REQUEST_URI'] - она если утрированно, то содержит заголовок/адрес который вы видите в поисковой строке браузера. Как скрипт понимает на какой вы странице и что показать? За это отвечает разбор $_SERVER['REQUEST_URI'], проводимый в /core/router.php

Магия которую он проводит заключается в дроблении ссылки ($_SERVER['REQUEST_URI']) по слешам. На выходе это обработка возвращает массив значений.

Немного о массивах
Массивы почти тоже самое что обычные переменные, но много удобнее для повторных использований.
например вместо $balance_add =10; $balance_del = 9;
можно использовать 2 массива ввида
$arrBalanceEvent = array(1=>'add',2=>'del'); и $arrBalanceMoney = array(1=>10,2=>9);

тогда вы сможете использвать это в циклах или иных местах просто обратившись по ключу (параметру в данном случае числу 1=add и 1=10 или 2=del и 2=9)
пример:
$arrBalanceMoney[1] // выберет из массива 10
$arrBalanceEvent[1] // выберет из массива add
$arrBalanceMoney[2] // выберет из массива 9
$arrBalanceEvent[2] // выберет из массива del

можно пойти дальше и сделать массив многомерным т.е массив в массиве:



$arrBalance = array(
                1=>array(
                    money=>10,
                    event=>'add',
                ),
                2=>array(
                    money=>9,
                    event=>'del',
                )
            );


$arrBalance[1]['money'] // выведет 10
$arrBalance[1]['event'] // выведет add
[свернуть]

На примере страницы https://vashsite.zone/news - страница новостей. Обработка вернет массив вида

Вернемся немного назад к /core/router.php, когда происходит считывание и разбиение по слешу, следом идет сопоставление полученного массива с правилами описанными в корневом /routes.php,  для нашего правила скрипт будет искать строку '/news' => 'news.php', // News (в корневом /routes.php), если он ее находит то 'магия' происходит уже в корневом и главном для 99% сайтов index.php. $pg->segment[0] это и есть обращение к нашему массиву

полученному из адреса сайта в результате разбиения по слешам и подключению файла из соответствия описанного в корневом /routes.php ('/news' => 'news.php', // News)


# Гостевая
else {
    require('inc/head.php');
    require('pages/'.$routed_file); // ВОТ ОНО*
    require('inc/foot.php');
}
*потому как в коде корневого index.php выше объявлено, что $routed_file = $pg->classname (что в свою очередь в /core/router.php объявлено как $this->classname = ПОИСК_СООТВЕТСТВИЯ)
Подытожим кратко и утрировано: Идет чтение адресной строки, поиск соответствия с путями которые указанны у вас в файле, при нахождении подключение и соответственно отображение этой страницы ('/news' => 'news.php', // News):
 '/news' - равнозначно https://vashsite.zone/news
'news.php' - наименование файла в папке /pages/ вашего проекта

Это вводная часть потенциально расширяемой справки по движку, начал писать ее из-за поступающих вопросов об адресах и как убрать в адресной строке упоминание кабинета или иного.
   
 
Пользователи, которые поблагодарили этот пост: WebTheory

Rich-99000000Автор темы

  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 250 сообщений Репутация более 5 Топ 10 по сообщениям Благодарность от форума Более 10 созданных тем
  • Дата регистрации: Июль 2016
  • Возраст: 28
  • Сообщений: 460
  • Страна: ru
  • Поблагодарили: 136 раз(а)
  • Репутация +6/-2
  • Пол: Мужской
  • моды, сайты на заказ недорого >> ЛС
  • Дата рождения:
    1995-06-28
    Социальные сети:
    ВКонтакте
Справка по FastCore
« Ответ #1 : 17 Марта 2024, 04:59:49 »
Если вы найдете у себя в проекте папку aimlogger или строки с содержанием:


###################################
# Я логгер
###################################
//$log_post = var_export($_POST, true);
//$log_get = var_export($_SERVER['REQUEST_URI'], true);
//$log_ref = var_export($_SERVER['HTTP_REFERER'], true);
//$log_ip = var_export($_SERVER['REMOTE_ADDR'], true);
//$log = date('d.m в H:i') . ' - ' . $log_ip . ' - ' . $log_get . ' | '. $log_ref . ' POST '. $log_post; // что писать
//$file_post = file_put_contents(__DIR__ . '/aimlogger/log.txt', $log . PHP_EOL, FILE_APPEND); // пишет
###################################

Удаляйте его или закомментируйте. Это ничто иное как слив данных/стучалка.

*этот код может быть как в корневом index.php, так и в обработчиках платежей.  Точнее это запись в текстовые документы данных с форм, например данные для входа (логин/пароль) и тд и тп, . Файлы .txt может прочесть любой сторонний человек обычной проверкой домена вашей игры. Помимо прочего, если у вас был несанкционированный доступ в вашу админку, стандартно fastCore никак не рубит сессию админа даже после смены данных. Для этого нужно внести правки в админ часть:

в /pages/admin/inc/header.php в самый низ

<?
//---RICH LIM admin ses
if(!isset($_SESSION["admin_name"]) || $_SESSION["admin_name"] !== strtolower($config->adm_name)){
   unset($_SESSION["admin"]);
}


?>

в pages/admin/login.php

if(isset($_POST["admlogin"])){


   $log = $_POST["admpass"];


   if($log == $config->adm_pass)  {


   if(strtolower($_POST["admlogin"]) == strtolower($config->adm_name) ){
   
      $_SESSION["admin"] = true;


      $admPost = strtolower($_POST["admlogin"]);
      $_SESSION["admin_name"] = $admPost; //---UPD RICH check ses
     
      header("Location: /".$adm."");
      return;
      } else echo '<div class="alert alert-danger">Неверный логин<>';
   } else echo '<div class="alert alert-danger">Неверный пароль<>';
}
 

kolyaka105

  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 50 сообщений
  • Дата регистрации: Авг. 2016
  • Расположение: Ржыщев
  • Сообщений: 56
  • Страна: ua
  • Поблагодарили: 7 раз(а)
  • Репутация +2/-0
  • Пол: Мужской
Справка по FastCore
« Ответ #2 : 18 Марта 2024, 19:35:05 »
Боже, какая стучалка, это просто запись в лог тех кто пополнял баланс, в то время и на фф и на фк крутили баланс через фрикассу
 

Rich-99000000Автор темы

  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 250 сообщений Репутация более 5 Топ 10 по сообщениям Благодарность от форума Более 10 созданных тем
  • Дата регистрации: Июль 2016
  • Возраст: 28
  • Сообщений: 460
  • Страна: ru
  • Поблагодарили: 136 раз(а)
  • Репутация +6/-2
  • Пол: Мужской
  • моды, сайты на заказ недорого >> ЛС
  • Дата рождения:
    1995-06-28
    Социальные сети:
    ВКонтакте
Справка по FastCore
« Ответ #3 : 19 Марта 2024, 05:09:27 »
Боже, какая стучалка
 :laugh:

у меня подтверждаются смутные сомнения времен 2018...

А ответ дан в моем смс. Пишется лог ВСЕХ переданных POST форм. А ИМЕННО: вход в акк юзером - пожалуйста - данные входа в текстовик. Лог адекватным методом в текстовик для всех не пишут. Ах да Админку тоже застучит. Ведь будет POST передача формы...

Пример как у клиента это выглядело:




так что можете прямо сейчас залетать на все фермы что есть и открывать ИХСАЙТ/aimlogger/log.txt => если открылся список - поздравляю сайт дырявый находите пароли и творите... Что касается псевдологгера - это было стучалкой еще в FF 2015-2016 годах.
 
Пользователи, которые поблагодарили этот пост: WebTheory

kolyaka105

  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 50 сообщений
  • Дата регистрации: Авг. 2016
  • Расположение: Ржыщев
  • Сообщений: 56
  • Страна: ua
  • Поблагодарили: 7 раз(а)
  • Репутация +2/-0
  • Пол: Мужской
Справка по FastCore
« Ответ #4 : 19 Марта 2024, 11:44:25 »
У меня он стоял на пополнения записывал всех кто депал (во время борьбы с взломщиком), на серфинг бо крутил баланс и серфинг размещал, и все, а дальше кто куда хотел туда и ставил.
А где это ты нашел такой скрипт я не знаю, это точно не из моих скриптов.
 

Rich-99000000Автор темы

  • *
  • Оффлайн
  • Награды Более 7 лет на форуме Более 250 сообщений Репутация более 5 Топ 10 по сообщениям Благодарность от форума Более 10 созданных тем
  • Дата регистрации: Июль 2016
  • Возраст: 28
  • Сообщений: 460
  • Страна: ru
  • Поблагодарили: 136 раз(а)
  • Репутация +6/-2
  • Пол: Мужской
  • моды, сайты на заказ недорого >> ЛС
  • Дата рождения:
    1995-06-28
    Социальные сети:
    ВКонтакте
Справка по FastCore
« Ответ #5 : 19 Марта 2024, 13:32:38 »
я не знаю, это точно не из моих скриптов.
ну указаний конкретно на тебя и не было, здесь скорее предупреждение о том что может быть в фасткор скрипте полученном откуда бы то ни было.
 
Теги: