Protect Gessior y Xampp.

Todos saben que Gesior es una porquería en términos de seguridad y XAMPP también tiene sus defectos, pero muchos todavía usan Gesior y XAMP por varias razones, incluso por afinidad. Hoy vine aquí para darte algunos consejos valiosos para que puedas hacer que tu querido Gesior y tu XAMPP sean un poco más seguros. 

1 -  Si usa XAMPP, siga los pasos a continuación para hacerlo más seguro:

Cree una contraseña relativamente buena y segura para su xampp / phpMyAdmin.
Eliminar completamente la carpeta webdav.
Vaya a su phpMyAdmin>  Privilegios  y elimine el usuario de pma .

Vaya a la carpeta phpMyadmin / config.inc.php y busque la siguiente etiqueta:

Código:

$cfg['blowfish_secret'] = 'xampp';

Y cambie la palabra champú a algo completamente sin sentido, por ejemplo:

Código:

$cfg['blowfish_secret'] = 'hsdewu1721has1au';

Todavía en  config.inc.php  y busque la siguiente etiqueta:

Código:

$cfg['Servers'][$i]['auth_type'] = 'config';

Y cámbielo a:

Código:

$cfg['Servers'][$i]['auth_type'] = 'cookie';

Ahora vaya a php / php.ini y busque la siguiente etiqueta:

Código:

Safe_mode = Off

Actívelo dejando:

Código:

Safe_mode = On

¡Bien, tu XAMPP es mucho más seguro! 


2 - Bueno, ahora vamos a Gesior, ve al archivo config / config.php y realiza las ediciones en las siguientes etiquetas:

Código:

$config['site']['access_news'] = 6; // access level needed to edit news
$config['site']['access_tickers'] = 6; // access level needed to edit tickers
$config['site']['access_admin_panel'] = 6; // access level needed to open admin panel

Cámbielos a 6 para que no tengamos problemas con las intrusiones del sistema, pero recuerde poner page_acess 6 en su cuenta phpMyAdmin para administrar su sitio.


3 - Vaya a layouts / sua-skin / layout.php y busque la etiqueta <body y reemplácela por esta:

Código:

<body onBeforeUnLoad="SaveMenu();" onUnload="SaveMenu();" oncontextmenu="return false" onselectstart="return false" ondragstart="return false">

Ahora, justo debajo de la etiqueta <body>, agregará el siguiente código:

Código:

<?php
{
$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql);
$sql = trim($sql);
$sql = strip_tags($sql);
$sql = addslashes($sql);
return $sql;
}
 
function protect($str)
{
if( !is_array($str) ) {
$str = preg_replace("/(from|select|insert|delete|where|drop table|show tables)/i","",$str);
$str = preg_replace('~&amp;#x([0-9a-f]+);~ei', 'chr(hexdec("\\1"))',$str);
$str = preg_replace('~&amp;#([0-9]+);~e', 'chr("\\1")',$str);
$str = str_replace("<script","",$str);
$str = str_replace("script>","",$str);
$str = str_replace("<Script","",$str);
$str = str_replace("Script>","",$str);
$str = trim($str);
$tbl = get_html_translation_table(HTML_ENTITIES);
$tbl = array_flip($tbl);
$str = addslashes($str);
$str = strip_tags($str);
return strtr($str,$tbl);
}
else return $str;
}
 
$nome = anti_injection($_POST["nome"]);
$senha = anti_injection($_POST["senha"]);
 
$link = htmlspecialchars($_POST['link'], ENT_QUOTES);
echo $link;
 
header("Content-Type: text/html;  charset=ISO-8859-1",true)?>

Todavía en layout.php, justo debajo de la etiqueta <head>, agregará el siguiente código:

Código:

<script type="text/javascript">
function click() {
if (event.button==2||event.button==3) {
oncontextmenu='return false';
}
}
document.onmousedown=click
document.oncontextmenu = new Function("return false;")
</script>

Estos códigos lo ayudarán a predecir contra la inyección SQL, pero afirmo que esto no es 100% seguro. 

4 - Vaya al archivo guilds.php y localice la siguiente etiqueta:

Código:

$guild_logo = $guild->getCustomField('logo_gfx_name'); if(empty($guild_logo) || !file_exists("guilds/".$guild_logo)) $guild_logo = "default_logo.gif";

Ahora reemplácelo con esto:

Código:

foreach (array("/", "\\", "..") as $char) {
    $guild_logo = str_replace($char, "", $guild->getCustomField('logo_gfx_name'));
}
if (empty($guild_logo) || !file_exists("guilds/".$guild_logo)) {
    $guild_logo = "default_logo.gif";
}  

Bien, tu guilds.php está a salvo ahora.

5 - Elimine el archivo houses.php por completo , es un archivo muy inutilizable y aún muy vulnerable, las personas malintencionadas pueden ver su config.lua a través de él, así que simplemente elimínelo.

Bien, eso es todo por ahora, si tiene más consejos para hacer que Gesior y XAMPP sean más seguros, publique sobre este tema que seguramente ayudará a muchas personas necesitadas

Muy buen aporte...aunque deberias especificar para que versiones de xampp y gesior serian compatibles , ya que hay algunas que ya traen estas modificaciones por lo menos en gesior ... saludos !