Предлагаю вести разработку на SourceForge.net.
Проект здесь http://sourceforge.net/projects/mista-engine
Пока туда ещё ничего не выложено, но скоро будет.

да ты что! ну ффсе, теперь жди хацкеров :)

(1) Надеюсь, все найденные дыры будут оперативно закрыты.

Была сегодня статейка про Open Source...

(2)А что всем делать пока их закрывают?

(4) Плакать, колоться...

(3) А ты как думал? Щас форум прервратиться из графического в текстовый - всем понаставим консоли и все вручную будут формировать SQL запросы и знать структуру базы :)))

>>License: GNU General Public License (GPL)
Это хорошо.:)

(5) лучше курить и смеяться

(5) Нам осталось уколоться,
и упасть на дно колодца.

(5) Вот почему тебя Волшебником зовут...

а дивжка от КЗ тоже тама будет

(6) чем колоться?

(12)как чем - димедролом... или аспирином

(12)Волшебник решил перевести мистян с виртуального наркотика на натуральные...

(11) Да

(12) Вместо миста-наркотика

No File Packages Defined

This project has not yet created any file release packages.

чегой-то я не понял(

(16) "Пока туда ещё ничего не выложено, но скоро будет."

(16) написано же [Пока туда ещё ничего не выложено, но скоро будет.] обещанного 3 года ждут

подождем(

а я размечтался уже(

(20) ручки чешутся? :)

(21) неа, просто интересно стало

Да, что-то делать надо...

(6) Поддерживаю:)

давай выкладывай уже :)

(25) погодь, он еще не весь мат из комментариев вычистил

(26) LOL

(27) угадал?

(28) Ну примерно так: я просматриваю скрипты, чтобы убрать оттуда какие-то вещи. Чтобы знание исходников форума не могло принести вред мисте.

Авторское творение должно быть представлено в оригинале.
Мат в комментариях обязателен!

(15) жёско ))

(290 скрипты в студию!

прощай миста :))

(33) почему)

щас кулхацкеры набегут :)

(35) Все фигня, он же сказал что чистку производит. Отстанется очередная версия "Лайт"

(30)знаю я одного такого... мат на мате в коментах...

(36) Выложу почти всё, примерно 95%

(38) что будет в оставшихся 5? админка?

Хватит уже приперться!!! 5 так 5.. - Думаю что в ним принципиального не будет..

(40) в том то и дело, что будет( там бу самое интересное(

(41) Уверен?

(41) например, фотки, присланные девушками форума Волшебнику для вставки в личку.

(43) О да!!!!!! И видео!!!!

(44) я надеюсь, в стиле ню?

(39) Скрипты, которые вызываются по crontab

(46) Хм...это ню или не ню...наверное все-таки ню.

(43) Дык фотки же вроде для свободного просмотра высылаются.

(48) Из гига высланных фоток убирается видео. Потом стиль ХХХ. потом стиль НЮ.
Потом стиль "Я здесь толстая". Потом "Я здесь плохо получилась".
И все :(

Выложил релиз 1.0.0. Размер 107К
Скачать можно по ссылке из сабжа

Стас, расскажи, как взломать форум...

(50) В rar нехорошо выкладывать...

Оооооо, а где рид.ми?

(49) То-то их так мало на форуме :)

(50) Клева!

(53) Напишите сами

(52) Варезник... ;)

(0) Спасибо, Волшебник! Отличный движок. Имхо, самый удобственный из всех.

(58) Фу... Нельзя ж так слюнями брызгать...

(59) А я правда так считаю.

теперь можно начить обсуждение и разработку...

(61) Хочешь услышать поток фекалий? Зачем?...

Если кто найдёт какую-нибудь уязвимость, просьба сообщить мне приватно, а не публиковать на форуме. Будет ещё лучше, если вы сразу пришлёте правильный скрипт.

О других багах и недочётах можете писать и на форуме в открытую.

Я одного не понимаю...
На свете есть прекрасные движки... (пример http://www.ikonboard.com/)
Зачем изобретать велосипед?

(63) На PHP 4 пойдет?

Или вот: http://www.invisionboard.com/

(63) Есть например такой баг. Иногда новые сообщения подгружаются с флажком модерирования (нолик перечеркнутый). Конечно забанить я не могу, т.к. прав нету, но в комменте к нему показывается айпишник.

(65) Пойдёт.

(66) Этот движок не поддерживает AJAX, имеет не плоскую структуру, перегружен графикой, там нет ботов. И там много чего нет. А ещё это ширпотреб, установлен на 90% форумах. Надоел уже.

(68) При создании cache_topics ругается "The used table type doesn't support BLOB/TEXT columns"

(68) Зато он удобен, не поддерживает всякой фигни вроде АЯКСа, привычен новым пользователям, потому как установлен на 90% форумах...

(69) там нет такого поля

(64) Ну вот с этим я не соглашусь - я видем много различных движков и конечно InvisionBoard это хороший форум но как классический форум, а Миста это скорее что-то среднее между форумом и чатом и поэтому очень удобна для общения в онлайновом режиме...

(67) это не баг, а баян

(71) Заменил ENGINE=MEMORY на ENGINE=MyISAM, таблицы создались.

(72) Чатофорум или форумочат. Уже обсуждали, так и не выбрали точное название

(74) Ну ты всю идею кеша в памяти помножил на ноль

(76) Вечером обновлю PHP до 5.1.6 о попробую заново.

(72) Предполагаю, что при доводке форума от того же инвижен борда можно повысить и скорость...

(77) Проблема не в PHP, а в MySQL, я думаю.

(78) Сильно сомневаюсь

(77) Дык это мускл а не пхп

мама дорогая!!!!!!!! (это я только архив распаковал)

(81) а я еще и внутрь залез...правда говорить, что if (!($_SESSION["is_moderator"] | in_array($_SESSION['user_id'],$section_owners)))
{
       header("Location: index.php");
       exit;
}
пишется как Если (Не ($_SESSION["is_moderator"] | in_array($_SESSION['user_id'],$section_owners))) Тогда
       header("Location: index.php");
       exit;

КонецЕсли;
Не стал - постесьнялся...

(81) прикинь, ещё и работает!

(83) newmessage.php, стр.118 - порадовал. ведь можешь, когда приспичит! :)

(84) А, ты про отключенный матофильтр... Ну пришлось вспомнить всё, что знал... :)

(82) Что это было?

(86) Он пытался перевести на одинэсик. Только забыл ещё вертикальную палочку заменить на ИЛИ

(85) какие-то скудные у тебя познания... :)

(88) А одно слово я за мат не считаю, то которое на "ж". :-)

(87) Я ПХП вижу в первый раз. Подумал что | это типа конвеера в линуксе

(90) Язык С значит ты тоже не знаешь

(91) вот ты мне скажи, почему ты везде вместо логических бинарные операции используешь?

(92) однажды он уже погорел на этом.

(91) Давайте не будем обсуждать здесь чего я еще не знаю....а то об 1Сниках и так плохо думают. Зато я не жадный!

(69) У меня тоже самое было - скачал и установил свежий мускул, все получилось...

(92) Рассматривай это как баг. Один раз из-за него похерились ветки за месяц

(96) жжош, адназначна! %)

в поставке стилей нет, картинок нет. Все идет с forum.mista.ru

Mista решила нагрузку увеличить

необходимо создать каталог noflood\tmp\

100

(92) Это лишь доказывает, что PHP-зло. :-)

(101) привет. Асемблер рулит?:)))

Какие-то бинарные операции, которые 100 лет в обед никому не нужны, лежат не где-то глубоко, а могут быть по ошибке вставлены в условие.

(102) .NET рулит в данном случае. :-)

(104) а ДЛЛки на асемблере?:))

(105) Вот у меня еще одна DLL-ка поспела, которая логит запись доков в 1С.
Там много строчек на ассемблере...

(106) дай позырить :)

(105), (107) Привет. А ты ассемблер знаешь?

Т.е. логит и программную запись, и интерактивную...
Щас выложу...

(109) кинь плиз на мыло лучше :)

если убрать AUTO_INCREMENT=20223 ;, то  $_SESSION['user_id']==2189) превратится в одну большую дыру

(110) Отсюда качнешь?
http://x-romix.narod.ru/vk_log_write_doc.rar

(112) скачал,спасибо :)

+113 ВК только для 7ки?

(114) Да.

(114) А в 8-ке разве нет глобальных процедур для перехвата?

В сиквеле пока что не работает лог для вновь созданных документов.

И теперь чего: Миста++ будет, да?

нужна папки static с файлами
synonyms.txt
telepat_kb.txt
telepat_classes.txt

(119) Качни их с мисты

Ну уж эта российская любоффь к ВыньРару!

Волшебник, архивы выкладывай в ZIP или Tar.gzip или 7-Z - если хочешь моднуым показаться , на Западе за РАР и еще в ОpenSource проекте руки поотрывают, а клиенты будут спрашивать: "Чтобы разархивировать ваш файл, мне нужно купить WinRar?"

(120) каким образом ветки в архив сдавать, а то поиск не работает

Зы. А так, через год можно уже ждать в каком-нибудь LXF или более солидном журнале в сравнении форумных движков и Mista Engine с оценкой 9/10, а по быстродействию - 10/10.

//Kleo и Таня USE_AJAX = 0
:)

ну и я вроде скачал :)

>>Чтобы разархивировать ваш файл, мне нужно купить WinRar?"
для этого есть unrar.exe

(126) НО! "Они тупые!" (цы)

(126) - если человеку, 10 лет просидевшему в Линуксе, документацию скидывают в Ворде - он что будет делать? Матюгаться! Для этого есть HTML, PDF и OpenDocument.
unrar.exe - закрытый и не особо рекламируемый.

(121) Запад нервно курит в сторонке. RAR сжал движок форума в 2 раза лучше, чем ZIP

(129) - 7-Zip в руки!

(130) Я ещё немного патриот. Так что пусть запад или ставит отечественный RAR, или движок форума будет распространяться по России, назло всяким phpBB и InvisionBoard

(131) Так его, так. Мочииии. :-)

(129) попробовал 7z - получил архив на 10% меньше

(131) - 7-Zip - тоже наш делал. Это набирающий популярность архиватор, который по-видимому заменит Rar.

(134) Народ, может хватит разглядывать фантик, а пора попробовать конфетку, которая в нём завёрнута?

(134) врядли заменит. rar - де-факто "офисный" стандарт. Это все равно, что пытаться "свергдуть" .doc :) Хотя сам я пользуюсь 7z. Прелесть его еще и в том, что rar'ы он разжимать умеет.

(135) - посмотри на остальные проекты на Sourceforge - есть ли там зараренные?

Тебе просто нужно перезалить архив, сделанный 7-Zip-ом.

(135) А там можно залить 2 архива: рар и зип? Залей, пусть успокоятся.

(135)
А может надо упаковывать нормально?
И документацию стоит выложить не в проприетарном формате?

(139) где найти документацию?

(140) Какую именно документацию?

Настоящие OSS-проекты не нуждаются в документации!
Исходный тест - вот вся дока!

(142) Если он хорошо откомментирован, то в общем, ты прав.

(135) А конфетка ли там?

(144) - вот что думают о нашем форуме на ЛОРе

http://www.linux.org.ru/jump-message.jsp?msgid=1609306&lastmod=1160639440234

Эх... Как же они правы... Хотя и автор не отрицает тамаизложенного...

(145)Нашли на чье мнение ссылаться, там средний возраст 14-18 лет...

Нормальные там пацаны сидят, сейчас они посоветуют нам хороший движок...

(148)Если миста перейдет на другой движек, то это будет уже не миста...
У Мисты лучший движек из всех мной встреченных! Он глючит, тормазит, но он самый удобный!

О! Реалнет и Кубань - бомжачие форумы!

(145) Цифра 250 пользователей в час - это только зарегенные. А хитов гораздо больше. В часы пик бывает до 20 хитов в секунду. Количество запросов к базе ещё больше. На каждый хит 3-5 запросов.

(151)"В часы пик бывает до 20 хитов в секунд" Мы это замечаем.... ;)

(145) "самого популярного в Мире форума по 1С - http://www.forum.mista.ru"
:)

Влезу не по теме:
А что с поиском?
Найти сообщения по автору не ищет в новых сообщениях (где-то полугодовалой давности сообщения выдает), то вообще ничего не находит.

(154)Вот поэтому движек и открыли...

(153) - а что, разве не так?

"Re: Открыты исходные тексты движка форума Миста
Вы тока физдеть умеете! Покажите-ка свои шедевры - вместе посмеемся."


кажется, сейчас начнется. :)

Выбираем новый движок для Мисты:
http://wiki.opennet.ru/ForumComparison

или обсираем их....

может это... устроим маленький экшн на ЛОРе? :)

(156) "самого популярного в Мире" - хм... сомневаюсь.
"форума по 1С" - смотрим статистику за последнюю неделю:
1C - 6673 сообщ.
IT+LIFE - 1710+6410 = 8120 сообщ.

(159) Что такое ЛОР?
ЗЫ.Хочешь проверить не повиснет ли он от набега мистюков?

Не, на ЛОР я не пойду войной. Они за правое дело...

(160) Миста - действительно самый популярный форум в мире по 1С (!)
А статистику лучше смотреть по количеству веток, а не сообщений.

(162) левые за правое дело? LOL!

(163) >>самый популярный форум в мире по 1С (!)

А 8-е марта самый международный женский день...

(165) ты много знаешь в _мире_ форумов про 1С?

(166) - а Россия, Украина, Белоруссия и т.п это разве не часть мира? Или планета Плутон?

"Ржунимагу. Пришли тупые адинэсники и учат нас форумы делать :) ЛОЛ!!!!!!"
Невысокого мнения об одинэсниках линуксоиды.

(168) - но 1Сники обычно невысокого мнения о Линуксе - обычно он считается быдлокодерской поделкой для бедных.

(167) в Украине, Белоруссии есть форумы по 1С, аналогичные мисте?

(170)+ по популярности имеется ввиду

К томуже а можно "обновить ветку" на горячую клавишу повесить? А то не нравиться мне автообновление, а искать кнопку долго

(163) каждый меряет своими попугаями :)

(172) F5

а когда на кнопочке "Обновить ветку" будет индикатор обновления?

(174)Это обновление средствами браузера, а мне трафик жалко

траффика бояться - на мисту не ходить :)

(176) Допиши. Там не сложно.

(176) Неужели анлимитед ещё не добрался до твоего городишки?

(179) Он и до моего не добрался и неизвестно когда будет. Вернее известно - когда провинция восстанет и обрежет в буржуйских столицах Питере и Москве оптоволокно. И протянет у себя.

У нас канал города во внешний мир 6 мегабит .

(181) Как страшно жить...

(179)Ну дык у нас тут не зажравшаяся Москва...

нам в бобруйске тоже по бастовать что ли... а то бедным 400 метров в неделю... куда годиться такое...


(182)это а что движок уже выложили... или еще просматриваются особо опасные участки

есть ли жизнь за МКАДом?...

(185)Зажрались за мкадом, анлимы у них... ;)

(184) уже сутки как выложили

(187) sf.net зарегистрировал 25 скачиваний

(188) Я был первый. :-)

(188) за сегодня, вчера еще 57

(189) перфый был я - я его туда залил :)

(191) Балин. :-(

(190) О! круто

ну тогда и мы качнем... я просто не думал, что так шустро выложут... а за трафик я уже сказал

Кстати а инструкция будет как все это поднять и запустить ?

(195)
base.sql - создание базы
config.inc - параметры подключения
всё

(196) не взлетит,
там в index.php лишняя строчка с forum.mista.ru

Качаем сорец, открываем первый попавшийся файл (lastmsg.php) Смотрим первую страницу исходника, видим:

$query = 'SELECT name as found FROM forum_users WHERE MD5(password) = "' . $_COOKIE['entr_hash'] . '" LIMIT 1';

$result = mysql_query($query); if (mysql_num_rows($result) == 1) { enter_system_by_user_id($_COOKIE['entr_id']); } mysql_free_result($result);

Идем на сайт мозилкой, при помощи плугина Tamper перехватываем запрос на сервер, меняем куку entr_hash устанавливая значение "' OR 1 LIMIT '1", получаем доступ к системе под другим пользователем. ИЛИ Правим куку entr_id установив ее в любое другое значение - указываем ИД другого пользователя. Пароль оставляем свой - получаем доступ другим пользователем.

дык, для того и выложили, чтобы быстрее глюки ловить и функционал развивать. напряжно одному-то...

200

-=>ДвеСти<=-

(201) долго ждал? ;)

(200)Не спортивно...

автору Х99-го поста сотки не засчитываются

(204) фига се! я успел и пост закинуть, и сотку забить. учитесь клавой работать, вон Триг в соседней ветке уроки дает

чет толи я туплю... толи не фиха не понимаю... выбери зеркало... какое не бы не выбрал ... go up you fuck... no files

(198) И как исправить?

https://addons.mozilla.org/firefox/966/

:))
какая ирония...
ВР на ЛОР как анонимус постит...

(205) все вопросы к ЛВП! так что твой 200 - незачет! (ЛВП)

(198) Временно залатал дыру на мисте. Жду от вас полноценного решения

(211) Обновил исходники ? Или сюда патч...

Может проверять корректность строки вида
eac500eaed6179a4d296d54e9811d32f
(т.е. никаких кавычек и символов =)?

А вообще-то рулят параметризованные запросы: в них нельзя модифицировать SQL.

(213) Делать СОКРЛП(СтрЗаменить("",,)) И тп

(215) вот это жескач!

Кстати можно вот так заshitиться от внедрения SQL:
SELECT * FROM table WHERE name = 'Д\'Артаньян'
http://phpfaq.ru/slashes
Там по умолчанию еще есть некие волшебные кавычки.

(212) Исходники пока старые.

Это все равно подстава, полноценное решение - юзать параметризованные запросы.
http://www.inr.ac.ru/~fedor/store/php/function.mysqli-prepare.html



$city = "Amersfoort";

//
if ($stmt = $mysqli->prepare("SELECT District FROM City WHERE Name=?")) {

// вставляем фактический параметр (s-строка, i-целое, d-двойной точности)
   $stmt->bind_param("s", $city);

// исполняем запрос
   $stmt->execute();



Можно еще вот этой функцией прослешить входящие строки: mysql_real_escape_string()
http://phpfaq.ru/slashes


$query = 'SELECT name as found FROM forum_users WHERE MD5(password) = "' . mysql_real_escape_string($_COOKIE['entr_hash']) . '" LIMIT 1';

$result = mysql_query($query); if (mysql_num_rows($result) == 1) { enter_system_by_user_id($_COOKIE['entr_id']); } mysql_free_result($result);

(220) Разве она защитит от инъекции '=1 OR 1'

(221) Да, т.к. кавычку-то надо закрыть перед OR
А преобразование вида "Д\'Артаньян" не даст ее закрыть.

А может там уже магик квотес все это делают по умолчанию... В настройках PHP они включены?