PCMS - Движок на файлах - Комментарии

RSS
Б

Оранжевые штаны
фильтрация плохая=( активные XSS тоже присутсвтуют

Землянин
Дырко)) хехе

Землянин
Булат, а хде там хсс?
Там при выводе фильтрация хтмлспешлчарс, хотя это тупость, надо было при записи фильтровать. Правда я только мильком миничат и форум посмотрел
P

Землянин
И в чем же это тупость? В том может что символов для записи меньше? Или в том что на сотую доли секунды при выводе дольше генерит?
P

Землянин
в этом архиве каким то случайным образом оказался .htaccess со старого движка. Я даже специально новый писал с mime types для ЗЦ. На работу это не повлияет, разве только mime type, страницы ошибки не будет.
P

Землянин
Я не знаю где может там быть XSS. экранировал все как надо. И не надо наговаривать без доказательств!
P

Землянин
хотя если речь про форму удаления, то да.
P

Землянин
и опять же таки нет! я перед выводом в форму экранирую $mess=htmlspecialchars($array[2]);
А то думал хана уже движку.
Тут другая проблема. я то уже исправил себе.
в profil.dat на 17й строке надо поставить
$id_user=$id;
иначе не пускает редактить. плохо проверен был.

Землянин
Да просто писанины в коде с хтмлспешлчарс больше smile да и не так уже много символов при записи будет
P

Землянин
А редактировать как? Когда надо воз вернуть назад все теги и ссылки. Да и символы все в форму. Муть короче.