Недостаточная фильтрация входящих данных » Украинский сайт поддержки новостной системы управления сайтом CMS Datalife Engine ( DLE )

Разделы

Главная страничка
Что такое Datalife Engine?
Форум
Бесплатные модули
Платные модули
Бесплатные шаблоны для DLE
Платные шаблоны
Хаки
Локализация
Вопросы и ответы(FAQ)
Обратная связь
RSS новости

Вебмастеру
Полезные ссылки вебмастеру
SmallCMS

Каталог модулей

Вход на сайт

Регистрация на сайте!
Забыли пароль?

Последние сообщения на форуме

Re: Качественный ХОСТИНГ, надежный и стабильный, Dakota в 03:10:16 10/01/2009
ХЭЛП с паролем!!!, Arkady в 01:29:49 10/01/2009
Re: 2 ip, Switch в 00:38:51 10/01/2009
Re: Rss_Grabber_2.3, Komrakoff в 21:43:23 09/01/2009
Re: Базы авторегистрации под алсабмитер 5.3, Kaleb в 21:42:21 09/01/2009
Re: 2 ip, Lion__ в 19:45:18 09/01/2009
Видео плеер , Slavynin в 13:21:58 09/01/2009
Помогите с шаблоном сайта, GriNia в 12:34:19 09/01/2009
Re: нужна помощь!!!!, zen в 12:04:37 09/01/2009
Re: прошу помощи, zen в 11:54:00 09/01/2009

Последние комментарии

5 часов назад - ToopUp
a final релиз когда будет?что че ...

5 часов назад - NHC
Шаблон-то супер, но под 7.0 пойд ...

8 часов назад - R-V
подскажите пожалуйста как лого п ...

8 часов назад - duanetorceny
Спасибо) С рождеством!

9 часов назад - Mars
Тока там модули не всеАвтору рес ...

9 часов назад - gerbttops
автору респект

10 часов назад - dEREkDiZ
Внимание! Цена на шаблон снижена ...

10 часов назад - grettikas
это просто изюминка

15 часов назад - NHC
Давно хотел себе такую штуку на ...

15 часов назад - muxig
Доброго[url=http://www.tvoeveslo ...

Опрос

Кокой порядок комментариев в новости более удобный?

Топ-новости

» AddNews 1.1
» Trend (шаблон в темных тонах)
» music
» notepad-chaos
» Шаблон на тему "Lineage 2"
» DataLife Engine v.7.5 Press Release
» Модуль "Реферальная программа".
» Шаблон для создания сайта - ОнлайнВидео
» Шаблон для DLE WarezNeon
» Dle1

Другие сайты о ДЛЕ

DataLife Engine VIP Support
DLETurkiye
PAV.MV.RU
www.4dle-az.tk
DatalifeEngine Farsi
Всё для DataLife Engine
Best-Warez

Календарь

Какие-то ссылки

Как настроить SAPE на DLE

хочешь такой же информер?

Главная страница » Багфиксы » Недостаточная фильтрация входящих данных

Недостаточная фильтрация входящих данныхБагфиксы

Автор: nickon.

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Низкая, применима только на устаревших версиях браузера Opera

Ручное исправление:

Откройте файл: engine/modules/imagepreview.php

найдите:

$_GET['image'] = htmlspecialchars ($_GET['image'], ENT_QUOTES);

ниже добавьте:

$_GET['image'] = str_replace( "document.cookie", "", $_GET['image'] );
$_GET['image'] = str_replace( "javascript", "", $_GET['image'] );

if ( preg_match( "/[?&;%<\[\]]/", $_GET['image']) ) {

$_GET['image'] = "";

}

Спасибо сказали: Junik, cs_shurik

0
1
2
3
4
5

(голосов: 0)

Просмотров: 306 автор: vladimir 18 июня 2008 Напечатать Коментарии (4)

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.

#1 написал: Junik (18 июня 2008 15:40)

Публикаций: 0
Комментариев: 6

А это что для чего???

if ( preg_match( "/[?&;%<\[\]]/", $_GET['image']) ) {

$_GET['image'] = "";

}[/code]

Зарегистрирован: 18.05.2008 ICQ: Junik

#2 написал: nonamez (18 июня 2008 16:39)

Публикаций: 0
Комментариев: 19

Бугагаа,а ведь я никону про эту ксс рассказал)))

Зарегистрирован: 2.09.2007 ICQ: --

#3 написал: demzyk (18 июня 2008 17:32)

Публикаций: 7
Комментариев: 60

nonamez,
А фикс был выпущен селсофтом после обсуждения в разделе платной поддержки, этой темы

Зарегистрирован: 8.07.2007 ICQ: --

#4 написал: vladimir (20 июня 2008 23:12)

Публикаций: 199
Комментариев: 414

Junik,
Это если в входной переменной image встречаются знаки ?&;%<[]

--------------------

Заходите на форум по Datalife Engine

Зарегистрирован: 20.11.2006 ICQ: 268-591-244

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.