ComusThumbz - оригинальное обновление для PHP 8
Добро пожаловать в руководство Comus
Если вы являетесь предыдущим пользователем ComusThumbs, это необходимо прочитать. Возможно, вы помните, что до того, как ComusThumbs потерял поддержку и больше не получал обновлений, он был взломан (около ноября 2008 года). Вы можете посмотреть вопросы здесь:
Последнее обновление (2.53-024 [12 09 января]) [ОБЩЕСТВО ОБЕСПЕЧЕНИЯ]
После просмотра кода ComusThumbs я обнаружил множество проблем безопасности, которые могли (или не могли) быть источником его взлома. Я сделал все возможное, чтобы закрыть все проблемы с безопасностью сценарием, чтобы затвердеть все возможные точки входа.
Это затрудняет для хакера возникновение проблем.
Помимо безопасности, вся кодовая база была модернизирована для работы с текущими стандартами PHP (8.1+), и несколько инструментов были значительно улучшены для лучшей работы с современным интернетом.
-
Исправления безопасности
Некоторые (но не все) исправления безопасности следующие:
Аутентификация и управление сессиями
- Заменить устаревшую систему аутентификации на основе файлов cookie проверкой сеанса на стороне сервера
Реализованные безопасные сеансовые файлы cookie с атрибутами HttpOnly, Secure и SameSite
Добавлена сессионная дактилоскопия для обнаружения и предотвращения захвата сеанса
- Добавлены сеансовые тайм-ауты на основе активности (пустые и абсолютные) для ограничения окна экспозиции
Замена генерации идентификатора слабого сеанса криптографически безопасными случайными байтами
Конвертированный механизм хранения сеансов для предотвращения блокировки базы данных
- Добавлено дросселирование brute-force login (ограничение скорости IP)
- Закаленные все унаследованные операции cookie в приложении
Безопасность базы данных
Перенес все запросы к базе данных на использование параметризированных подготовленных заявлений
Замена фильтрации ввода на основе черного списка с надлежащей параметризацией запроса
- Удаленная унаследованная конкатенация строк в конструкции запроса
Защищена система поиска и фильтрации администратора от впрыска через пользовательский ввод
- Обеспечивает операции записи навалом (обновление, удаление, замена) против впрыска
Снятые сообщения об ошибках, которые обнажили структуру базы данных или детали запросов для конечных пользователей
Профилактика межсайтовых сценариев (XSS)
Прикладное кодирование выходных данных для всех предоставленных пользователем данных, отображаемых в контекстах HTML
Защищенные назначения переменных JavaScript против инъекций через данные формы
Исчезли все сообщения об ошибках и отладках, которые ранее повторяли необработанный пользовательский ввод
Защищенные динамически генерируемые действия формы и атрибуты ссылки
- Удаленный унаследованный результат отладки, который обнажил внутреннюю системную информацию
Подделка межсайтовых запросов (CSRF)
Реализована защита CSRF на основе токенов на всех деструктивных админ-операциях
- Добавлена проверка CSRF для формирования представлений через админ-панель и общедоступные формы
Ввод валидации и санитарии
- Заменить устаревший дезинфицирующее средство для ключевых слов-черного списка контекстной проверкой
- Добавлена правильная проверка формата электронной почты с использованием современных функций фильтра PHP
- Добавлена валидация URL-схемы для предотвращения внедрения вредоносного протокола
- Внедренная длина ввода и границы проверки параметров обработки изображений
- Отрезанные символы новой линии от всех входов, используемых в заголовках электронной почты, чтобы предотвратить впрыск заголовка
- Заменить небезопасное принуждение с помощью явного целочисленного литья на все числовые входы
Файловая система и безопасность Path
- Добавлена защита обхода пути на всех предоставленных пользователем путях файлов, используемых в операциях с изображениями
- Ограниченные пути источника изображения только в назначенные временные каталоги
- Прикладная фильтрация имени файла на оверлее и ссылках на файл шаблона для предотвращения выхода из каталога
- Добавлено обнаружение нулевого байта в обработке пути файла
Командная инъекция Предотвращение
- Санитаризованы все внешние параметры инструмента, передаваемые командам оболочки (ImageMagick, FFmpeg)
Добавлены тайм-ауты исполнения на все вызовы подпроцесса для предотвращения истощения ресурсов
- Реализованное завершение процесса для подвешенных внешних команд
Сетевая безопасность
- Добавлена проверка Server-Side Request Forgery (SSRF) по всем исходящим HTTP-запросам
Заменить устаревший HTTP-клиент на основе сокетов современной, более жесткой реализацией
- Добавлена правильная проверка SSL / TLS на исходящих соединениях
Защищенное разрешение URL-адреса против открытых атак перенаправления и обхода пути
Добавлены тайм-ауты запросов и ограничения на повторную проверку всех внешних операций HTTP
Контроль доступа
Добавлены ворота аутентификации к ранее незащищенным административным конечным точкам
Защищенные фоновые рабочие процессы против несанкционированного исполнения
- Ограниченная активация режима отладки только для аутентифицированных администраторов
- Блокированный прямой веб-доступ к файлам журналов и артефактам отладки
Криптографические улучшения
Заменить хеширование MD5 на SHA-256 для всех операций хеширования, не связанных с паролем
Заменить предсказуемое генерирование случайных чисел криптографически безопасными альтернативами
-
Модернизация кода
Вся кодовая база была доведена до современных стандартов PHP 8.1+:
Сеансовая система Rewrite
Старая пользовательская система сеансов на основе базы данных была заменена на нативную обработку сеансов PHP.
Сеансы теперь быстрее, надежнее и совместимы с современными средами хостинга.
- Данные сеанса наследства автоматически мигрируются при первом входе в систему - никаких ручных шагов не требуется
Все существующие функции (состояние страницы, фильтры поиска, предпочтения) продолжают работать как и раньше.
Модернизация базы данных
Все операции с базами данных теперь используют готовые заявления — современный стандарт для безопасных и быстрых запросов.
Старая схема построения запросов путем сшивания текстовых строк была полностью заменена.
Новый класс помощников FormDataBag обеспечивает чистый, безопасный по типу доступ к данным формы, заменяя устаревший шаблон переменной переменной, который было трудно поддерживать и отлаживать.
Обновление HTTP Client
Унаследованный HTTP-клиент на основе сокетов (fsockopen) был заменен современной реализацией на основе кривых.
Все исходящие соединения теперь должным образом обрабатывают HTTPS, перенаправления, сжатие и тайм-ауты.
Сканирование галереи более надежно на более широком спектре веб-сайтов и конфигураций хостинга.
Класс и структура кода
Все классы PHP обновлены до современного синтаксиса (правильные конструкторы, объявления видимости, подсказки типов)
Удаленный код: более 500 строк неиспользованного кода
Добавлены комментарии к документации по всем ключевым функциям для будущей ремонтопригодности
-
Галерея Улучшения сканера
Инструменты сканирования галереи (Scan URL, Thumb Scanner, Turbo Cropper) были значительно улучшены:
Универсальный сканер
Сканер теперь работает с гораздо более широким разнообразием форматов страниц галереи и настроек хостинга.
Страницы, которые перенаправляют (302), теперь отслеживаются правильно - изображения находятся на странице конечного назначения, а не URL-адрес перенаправления.
Галереи, которые размещают свои изображения на отдельных CDN или контент-серверах (очень распространенные сегодня), теперь обнаружены должным образом.
URL-адреса, содержащие общие слова (например, «Присоединиться», «Выбрать», «Пароль»), больше не нарушаются старым текстовым фильтром.
Поддержка видео
Когда сканер находит видео на странице галереи, он автоматически извлекает кадры из видео с помощью FFmpeg.
До 20 кадров вытягиваются из равномерно расположенных точек по всему видео, что дает вам множество вариантов для миниатюры.
Если найдено несколько видео, кадры разделены поровну (2 видео = 10 кадров каждый, 4 видео = 5 каждый)
Каркасные изображения создаются с удвоенным разрешением видео для лучшего качества урожая.
Это работает только для видео галерей, где ранее не было изображений.
Современное обнаружение HTML
Сканер теперь находит носители, встроенные в видеоплееры JavaScript (JWPlayer, MediaElement и т. Д.)
HTML5
Усовершенствование кроппинга
Накладка для волос - желтый видоискатель в стиле камеры появляется на коробке для урожая, чтобы вы всегда знали точный центр вашего выбора
- Live Preview - Окно предварительного просмотра в режиме реального времени показывает, как будет выглядеть ваш обрезанный эскиз перед совершением сделки, теперь доступно на страницах URL-адресов Thumb Scanner и Scan (ранее только в Turbo Cropper)
Зеленая кнопка «CROP» появляется под вашим выбором, устраняя догадку нажатия внутри коробки
Ярлыки клавиатуры - нажмите Enter или Space, чтобы мгновенно обрезать, не касаясь мыши
Double-Click to Crop - Двойной щелчок внутри коробки для сбора урожая сразу сохраняет ваш выбор
Исправлена давняя проблема, когда обрезанный миниатюрный рисунок может дрейфовать или смещаться от того, что было показано в красном ящике, вызванном масштабированием координат, когда изображения отображались меньше их фактического размера.
Укладка сетки для миниатюр
Сканированные изображения теперь отображаются в отзывчивой сетке, которая автоматически заполняет доступную ширину.
Больше никаких одноколонных макетов - вы увидите столько миниатюр в строке, сколько позволяет ваш экран
- Каждая миниатюра показывает опцию «Продолжить» для быстрого выбора без обрезки
-
Автосканирование и пакетные операции
Улучшенная надежность
Все пакетные операции (Auto Scan, Auto Thumb, Turbo Thumb, 404 Check и т.д.) теперь работают более надежно, не вызывая тайм-ауты сервера.
Сканер правильно обрабатывает медленные или невосприимчивые галереи без подвешивания.
Справочные операции сообщают о прогрессе в режиме реального времени, чтобы вы могли следить за тем, что происходит.
Извлечение видеорамы в пакетном режиме
Turbo Thumb и Auto Thumb теперь включают извлечение видеокадра - если в галерее есть видео, но нет изображений, кадры автоматически вытягиваются для создания миниатюр.
Это относится ко всем методам сканирования: индивидуальное сканирование, пакетное сканирование и автоматическое сканирование
-
Модульная панель администратора
Основная панель управления администратором была реструктурирована из одного 7,000+ линейного файла в сфокусированные модули.
Строитель запросов
Логика поиска, фильтра и пагинации была извлечена в собственный модуль.
Поиски теперь можно закладывать в закладки — в строке пагинации появляется постоянная ссылка, которая захватывает ваш текущий поиск, фильтры, номер страницы и порядок сортировки в URL-адресе.
Общие или закладки поисковых ссылок восстанавливают точный вид при открытии
Руководитель командования
Все пакетные команды (Auto Scan, Turbo Thumb, Delete, Replace, Export, 302 Check, 404 Check и т.д.) организованы в специальном модуле.
Логика каждой команды является автономной и ее легче поддерживать или расширять.
Редактор журнала
- Система сохранения галереи была извлечена с помощью современной обработки формы
Использует параметризованные запросы к базам данных для всех обновлений записей
Более чистый, проверяемый код для каждой операции сохранения поля
Пакетный процессор
- Справочная обработка вакансий была перенесена в собственный модуль
- Включает новую систему очередей вакансий для представления пакетных операций
Мониторинг прогресса в режиме реального времени с поддержкой отмены
Конфигурация сканера
Все настройки сканера (тайм-ауты, качество изображения, прокси-сервер, пути FFmpeg и т.д.) консолидируются в одном классе конфигурации.
Настройки загружаются из базы данных один раз и доступны везде — больше нет рассеянных глобальных переменных
Повторное использование соединения для более быстрого сканирования — одно и то же HTTP-соединение остается открытым при загрузке нескольких изображений с одного и того же веб-сайта.
Comus Thumbs TGP и MGP script - это программа управления ссылками и автоматизации Thumb Gallery. |
«Быстрый старт» Тур должен объяснить сценарий для новичков, чтобы облегчить кривую обучения. Я включил много скриншотов и введение в редактирование шаблонов.
(Для получения более подробной информации обязательно прочитайте статьи «Необходимо знать 2» для максимизации ваших шаблонов.)
Я попытался расширить как можно больше идей, используя руководство по управлению сайтом «Шаг за шагом» и устранению неполадок, которое представляет собой обширное руководство по скриншоту на 74 страницы. Смотрите и учитесь, и вы будете на пути к полностью работоспособному сайту Comus Thumbs TGP.
Наши скриншоты в настоящее время обновляются, чтобы отразить новый дизайн и все фантастические новые функции, которые могут предложить Comus Thumbs. Пожалуйста, не стесняйтесь, если у вас есть какие-либо конкретные вопросы, чтобы использовать ссылки, которые мы включили в полезные сообщения и статьи.
Базовый оперативный обзор создания страниц TGP / MGP с помощью Comus Thumbs.
Шаг 1: Начнем с того, что в систему войдут галереи.
Шаг 2: Далее мы создаем предварительные просмотры для галерей с использованием встроенных инструментов Comus Thumbs, а также просматриваем и одобряем галереи для показа на сайте.
Шаг 3: Далее мы используем стандартный HTML-дизайн и размещаем на нем специальные коды. Это становится шаблоном, который сообщает Comus, где вы хотите, чтобы ваши большие пальцы появились.
Шаг 4: Далее мы говорим Comus создать страницу, Comus затем читает HTML шаблона, сканирует ваши коды, вставляет большие пальцы предварительного просмотра и отправляет новую страницу на ваш сервер.
Шаг 5: Далее мы установили сценарий для запуска на автопилоте. Таким образом, вы можете больше беспокоиться о создании трафика и продвижении себя.
Вот основные задачи, которые позволяет выполнять Comus.
1. Ссылки на галерею импорта в базу данных, с крупными импортерами, пауками URL, общественностью и партнерами представляют формы.
2. Автоматически собирать информацию о ссылках галереи, количестве изображений, типах, описаниях и информации о категориях.
3. Создавайте предварительные просмотры ссылок галереи вручную и автоматически.
4. Поддерживайте и отслеживайте производительность и популярность галерей и вашего сайта.
5. Автоматически создавать и перестраивать свой сайт с помощью ИИ, чтобы использовать самые популярные галереи и повысить популярность вашего сайта.
6 Экспорт на другие объекты.
7.Найдите и поддерживайте качество вашего сайта.
8.Общайтесь со спонсорами и мгновенно загружайте готовый контент, который приносит вам дивиденды.
9.Рынок вашего трафика и рекламного пространства.
10. Создавать и поддерживать сеть из нескольких страниц и категорий.
Существует 2 основных способа настройки сценария.
1. Настройка Prod Booster, которая восстанавливает сайт каждые 10 минут, впрыскивая 1 новый большой палец на сборку и представляя 144 полных больших пальца в день. Комус затем выбрасывает мусор, сохраняя только лучшие 33%.
2. Ежедневная настройка с фиксированным лимитом галерей в день (обычно 35) толкает лучшее наверх и наименьшее нажатие на дно.