Недостаточная фильтрация входящих данных - Форум Allsoft-Team
13:31:52
2024.03.29
 
Главная Форум Поиск Интернет-магазин РАРОГ® Игры Скрипты для uCoz Вход Регистрация

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Тему просматривают: Гость
  • Страница 1 из 1
  • 1
Форум Allsoft-Team » Форум по DataLife Engine (DLE) » Баги-фиксы » Недостаточная фильтрация входящих данных
Недостаточная фильтрация входящих данных
-=}{0TT@БЬ)Ч=-  Дата: Среда, 2009.11.25, 19:26:48 | Сообщение # 1
-=}{0TT@БЬ)Ч=-
Хакерство - это стиль жизни
Сообщений: 243
[ 5 ]
Награды: 4
Проблема: Недостаточная фильтрация входящих данных при обработке новостей.

Ошибка в версии: все версии

Степень опасности: Низкая

Ручное исправление:

Откройте файл: engine/classes/parse.class.php

найдите:

Code
if( ((strpos( strtolower( $attrSubSet[1] ), 'expression' ) !== false) && ($attrSubSet[0] == 'style')) || (strpos( strtolower( $attrSubSet[1] ), 'javascript:' ) !== false) || (strpos( strtolower( $attrSubSet[1] ), 'behaviour:' ) !== false) || (strpos( strtolower( $attrSubSet[1] ), 'vbscript:' ) !== false) || (strpos( strtolower( $attrSubSet[1] ), 'mocha:' ) !== false) || (strpos( strtolower( $attrSubSet[1] ), 'data:' ) !== false and $attrSubSet[0] == "href") || ($attrSubSet[0] == "href" and strpos( strtolower( $attrSubSet[1] ), $config['admin_path'] ) !== false and preg_match( "/[?&%<\[\]]/", $attrSubSet[1] )) || (strpos( strtolower( $attrSubSet[1] ), 'livescript:' ) !== false) ) continue;

замените на:

Code
if( ((strpos( strtolower( $attrSubSet[1] ), 'expression' ) !== false) && ($attrSubSet[0] == 'style')) || (strpos( strtolower( $attrSubSet[1] ), 'javascript:' ) !== false) || (strpos( strtolower( $attrSubSet[1] ), 'behaviour:' ) !== false) || (strpos( strtolower( $attrSubSet[1] ), 'vbscript:' ) !== false) || (strpos( strtolower( $attrSubSet[1] ), 'mocha:' ) !== false) || (strpos( strtolower( $attrSubSet[1] ), 'data:' ) !== false and $attrSubSet[0] == "href") || (strpos( strtolower( $attrSubSet[1] ), 'data:' ) !== false and $attrSubSet[0] == "src") || ($attrSubSet[0] == "href" and strpos( strtolower( $attrSubSet[1] ), $config['admin_path'] ) !== false and preg_match( "/[?&%<\[\]]/", $attrSubSet[1] )) || (strpos( strtolower( $attrSubSet[1] ), 'livescript:' ) !== false) ) continue;

найдите:

Code
$source = str_replace( "`", "`", $source );

замените на:

Code
$source = preg_replace( "#<iframe#i", "<iframe", $source );    
      $source = preg_replace( "#<script#i", "<script", $source );

Дистрибутив версии 8.0 обновлен.

[P.S]На новых версиях данной ошибки нет!



[qc][/qc]
[qc][adminred] ИНТЕРНЕТ МАГАЗИН ДЛЯ НАСТОЯЩИХ МУЖЧИН RAROG.pro[/adminred]
[/qc]
Форум Allsoft-Team » Форум по DataLife Engine (DLE) » Баги-фиксы » Недостаточная фильтрация входящих данных
  • Страница 1 из 1
  • 1
Поиск:
Статистика Форума
Последнии темы Читаемые темы Лучшие пользователи Новые пользователи

Музыка пользователя

(1)

Лc как Вконтакте (прикольно)

(1)

Проститутки Москвы

(0)

Майл ру анонсировала новый сервис

(0)

Новый форум свежих софтов и ирг для ПК

(0)

Огромный портал обновленных программ и игрушек для ПК

(0)

Игровые Автоматы

(0)

paytightihos

(0)

fukalotiseryu

(0)

drupsplurry

(0)

Oбщение

(8)

Робот на форум

(6)

Оценивайте

(5)

помогите плиз!

(5)

Баннер

(5)

заказ

(5)

Красивые друзья сайта

(4)

Играем в города

(4)

Какой у вас был мабильник!

(4)

Какую музыку вы слушаете?

(4)

  • -=}{0TT@БЬ)Ч=-
  • -=Fotogr@qp=-
  • Strike
  • {_-=keyn=-_}
  • Artem06660
  • orochi
  • Sherxan
  • TeRRor4iK
  • ToKKi
  • KaRaL
  • CrazyCat
  • BloodRain
  • antonshc
  • Nafanya
  • Drager
  • Eksigo
  • Dober
  • -=}{0TT@БЬ)Ч=-
  • Hapk
  • Strike
  • © Allsoft-Team™ - Cофт, Игры, Фильмы онлайн, ICQ 2024
    Использование материалов с этого сайта допускается только с разрешения администрации.
    Авторы проекта не несут ответственности за содержание рекламных материалов и файлов, размещенных на сторонних серверах.