Новости Joomla

SW JProjects v.2.6.0 - компонент каталога расширений для Joomla

Компонент позволяет сделать свой мини-Joomla Extensions Directory - каталог расширений для CMS (не только для Joomla) или файлов. Есть возможность скачивания по лицензионным ключам.

Phoca Collapse System Plugin

👩‍💻 Phoca Collapse System Plugin v.6.0.0При администрировании сайтов на Joomla можно столкнуться с большими дочерними формами (сабформы, subform). Их элементы можно добавлять, удалять, сортировать, но большое количество контента в них нередко делает сортировку неудобной. Чешский разработчик Ян Павелка (@PhocaCz) сделал очень удобный плагин, позволяющий скрывать содержимое сабформы, облегчая таким образом, сортировку элементов. Плагин успешно протестирован на Joomla 6 и не требует плагина обратной совместимости для своей работы.https://www.youtube.com/watch?v=aq_uks3gM1oСкачать плагин@joomlafeed#расширения

Человек на GitHub ускорил Joomla в 600 раз на объёме 150к+ материалов в 1700+ категориях

Человек на GitHub ускорил Joomla в 600 раз на объёме 150к+ материалов в 1700+ категориях

👩‍💻 Человек на GitHub ускорил Joomla в 600 раз на объёме 150к+ материалов в 1700+ категориях. На старте его сайт на Joomla 3 вообще не смог обновиться на Joomla 5. Пришлось делать экспорт/импорт материалов. Проделав всё это он запустил-таки этот объём данных на Joomla 5. Тестовый скрипт грузил 200 материалов из этого объёма всего за 94 секунды ))) А главная страница с категориями грузилась 20 секунд. Добавив индекс для таблицы

#__content 

CREATE INDEX idx_catid_state ON #__content (catid, state);
он сократил время загрузки категорий до 1 секунды. Затем наш герой решил поковырять SQL-запрос в
ArticleModel, который отвечает за выборку материалов. И решил заменить тип JOIN на
STRAIGHT_JOIN для категорий.
// ->from($db->quoteName('#__content', 'a'))->from(    $db->quoteName('#__content', 'a')    . ' STRAIGHT_JOIN ' . $db->quoteName('#__categories', 'c')    . ' ON ' . $db->quoteName('c.id') . ' = ' . $db->quoteName('a.catid'))// ->join('LEFT', $db->quoteName('#__categories', 'c'), $db->quoteName('c.id') . ' = ' . $db->quoteName('a.catid'))
Что сократило загрузку 200 материалов из 150к с 94 секунд до 5. К слову сказать, боевой сайт на Joomla 3 крутится на 12CPU 64GB рамы. А все манипуляции с кодом он делает на базовом 1CPU 1GB сервере и замеры скорости даны именно для базового сервера. Но это всё в дискуссии, хотя в идеале должно вылиться в Pull Requests. Мы - Open Source сообщество, где никто никому ничего не должен. Джунгли. Но человек ищет пути оптимизации Joomla и предлагает решения. Если оказать поддержку и предложить помощь хотя бы с тестированием самых разнообразных сценариев, то возможно эти улучшения смогут войти в ядро. Пусть не быстро, пусть через несколько лет, пусть не все, но войдут. Достаточно предложить руку помощи и приложить немного усилий.Дискуссию на GitHub можно почитать здесь.@joomlafeed#joomla #community #php

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 2 Ответов
  • 2782 Просмотров

XSS и sql injection, Full path disclosure
« : 01.08.2007, 15:27:18 »
инфа отсюда http://securityvulns.ru/Rdocument647.html

Превые 2 проблемы решение здесь http://putnik.net.ua/index.php/comps/web/2007/08/01/joomla-ispravlyaem-uyazvimost/
последнее, увы, не знаю, но оно не столь опасное.

Записан
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Re: XSS и sql injection, Full path disclosure
« Ответ #1 : 01.08.2007, 15:34:05 »
Ну во-первых, в pollwindow.php указанный XSS с параметром pollid не пройдет никогда (на версии 1.0.12 точно, младше лениво смотреть), потому что в перед вставкой в запрос у параметра есть приведение типа:

$query "SELECT title"
"\n FROM #__polls"
"\n WHERE id = " . (int) $pollid
;

Что же касается с использованием параметра t, да, в принципе скрипт вставить можно, обходится просто заменой:

$css mosGetParam$_REQUEST't''' );

на

$css htmlspecialchars(mosGetParam$_REQUEST‘t’” ), ENT_QUOTES);
Записан

Re: XSS и sql injection, Full path disclosure
« Ответ #2 : 01.08.2007, 16:35:43 »
Цитата: smart от 01.08.2007, 15:34:05
. "\n WHERE id = " . (int) $pollid
Это да, просмотрел.  Кстати, может поэтому эксплоит и не сработал. Просто перестраховка, возможно лишняя.
Цитировать
Что же касается с использованием параметра t, да, в принципе скрипт вставить можно, обходится просто заменой:
именно это и рекомендовал.

зы: в том каталоге неплохо бы и по остальным файлам также пройтись...

ззы: intval все же предпочтительней (хоть и не в данном случае), т.к. если бы переменная использовалась в нескольких местах, (int) отфильтровал бы только в одном, а intval для всего кода в целом.
« Последнее редактирование: 03.08.2007, 11:43:04 от Путник »
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

sql injection for Joomla 3.7

Автор winstrool

 Ответов: 5
Просмотров: 2917 		Последний ответ 22.05.2017, 21:49:11
от Septdir
SQL injection, пара вопросов

Автор kik84

 Ответов: 7
Просмотров: 1364 		Последний ответ 30.10.2015, 21:01:33
от flyingspook