Недостаточная фильтрация входящих данных


Проблема:
Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Средняя
Откройте файл: engine/classes/parse.class.php

найдите:
  $find= array(
                    '/about:/si',
                    '/vbscript:/si',
                    "'[quote]'si",
                    "'[quote=(.+?)]'si",
                    "'[/quote]'si",
                    );

        $replace=array(
                      "about<b></b>:",
                      "vbscript<b></b>:",
                      "<!--QuoteBegin--><div class="quote"><!--QuoteEBegin-->",
                      "<!--QuoteBegin \1 --><div class="title_quote">{$lang['i_quote']} \1</div><div class="quote"><!--QuoteEBegin-->",
                      "<!--QuoteEnd--></div><!--QuoteEEnd-->",
                      );

замените на:
$find= array(
                    '/about:/i','/vbscript:/i','/onclick/i','/onload/i','/onunload/i','/onabort/i',
                    '/onerror/i','/onblur/i','/onchange/i','/onfocus/i','/onreset/i','/onsubmit/i',
                    '/ondblclick/i','/onkeydown/i','/onkeypress/i','/onkeyup/i','/onmousedown/i',
                    '/onmouseup/i','/onmouseover/i','/onmouseout/i','/onselect/i','/javascript/i',
                    "'[quote]'si",
                    "'[quote=(.+?)]'si",
                    "'[/quote]'si",
                    );

        $replace=array(
                      "&#097;bout:","vbscript<b></b>:","&#111;nclick","&#111;nload","&#111;nunload",
                      "&#111;nabort","&#111;nerror","&#111;nblur","&#111;nchange","&#111;nfocus",
                      "&#111;nreset","&#111;nsubmit","&#111;ndblclick","&#111;nkeydown","&#111;nkeypress",
                      "&#111;nkeyup","&#111;nmousedown","&#111;nmouseup","&#111;nmouseover",
                      "&#111;nmouseout","&#111;nselect","j&#097;vascript",
                      "<!--QuoteBegin--><div class="quote"><!--QuoteEBegin-->",
                      "<!--QuoteBegin \1 --><div class="title_quote">{$lang['i_quote']} \1</div><div class="quote"><!--QuoteEBegin-->",
                      "<!--QuoteEnd--></div><!--QuoteEEnd-->",
                      );
Другие новости по теме:

Категория: Баги ----- Просмотров: 2665 ----- Комментариев: 5

Вернуться

  • GausS

  • 12 ноября 2008 17:03
  • Группа: User
  • ICQ: 362557054
  • Регистрация: 16.07.2008
  • Комментариев: 124
  • Публикаций: 5
^
а что изменится то?

--------------------
  • alexben

  • 12 ноября 2008 18:40
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
Безопастность...
  • GausS

  • 16 ноября 2008 01:41
  • Группа: User
  • ICQ: 362557054
  • Регистрация: 16.07.2008
  • Комментариев: 124
  • Публикаций: 5
^
При попытке зайти в профиль пользователя, вылазит от такое:
Parse error: syntax error, unexpected T_STRING, expecting ')' in /******/engine/classes/parse.class.php on line 246

246-я строка:
"<!--QuoteBegin--><div class="quote"><!--QuoteEBegin-->",


проблему решил.

вместо:

"<!--QuoteBegin--><div class="quote"><!--QuoteEBegin-->",
"<!--QuoteBegin \1 --><div class="title_quote">{$lang['i_quote']} \1</div><div class="quote"><!--QuoteEBegin-->",
"<!--QuoteEnd--></div><!--QuoteEEnd-->",

втыкаем:

"<!--QuoteBegin--><div class=\"quote\"><!--QuoteEBegin-->",
"<!--QuoteBegin \1 --><div class=\"title_quote\">{$lang['i_quote']} \1</div><div class=\"quote\"><!--QuoteEBegin-->",
"<!--QuoteEnd--></div><!--QuoteEEnd-->",

--------------------
  • Sander

  • 1 апреля 2009 10:48
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
Хаха )) Блин, ну хоть админы бы исправили или сказали...
В новости парсер пообрезал обратные слэши \
GausS, правильно исправил!