Добро пожаловать, Гость!
Тема закрыта для обсуждения
Дыры в движке - Страница 1
Архив закрытых тем | Дыры в движке
Искатель
: Дыры в движке
30 Мая 2013Расскажу немного о дырах которые обноружены были или еще будут.
В dcms 6 ветки если не ошибаюсь опасные символы вырезались при записи в базу данных и не фильтровались вообще никак, далее модификация fiera уже проверяла на наличие опасных символов и просто не позволяла запись, потом уже в этом моде нам понадобилось разрешение любых символов (хотя я по началу тоже пользовался запретом) строки экранировались с помощью my_esc() и выводилось через output_text() или htmlspecialchars(). Итак, по многочисленным просьбам было решено отказаться от проверки на запрещенные символы, и я практически везде сделал их пропуск, конечно же я везде где можно было сделал фильтрацию при выводе. Но как это обычно бывает, сегодня разрешил запрещенные символы, а завтра уже забыл что разрешал, от сюда и образовалить не фильтрованные названия тем, нефильтрованные данные в дневниках, зоне обмена и т.п. Практически везде где обнаруживались такие засады, я их устранял. От ныне запись в базу фильтруется через my_esc и выводится через htmlspecialchars, в следующей версии думаю таких багов и дыр не должно быть, так как все моды практически полность переписываются
Так что особо на меня не ругаемся, потому что я так же как и вы начинающий web мастер, поэтому я тоже могу ошибаться.Ps.: Я не критикую оригинал Dcms или Fiera все эти движки хороши и респект их автору и модификаторам. Если бы не они, мы бы тут не сидели. Любая работа заслуживает уважения.)
Тема закрыта Cистема
Комментарии:
Cистема 30 Мая 2013Тему переместил Создатель Искатель из раздела Баги (ошибки) движка в раздел Архив закрытых тем
cosmos 
30 Мая 2013VHlam, Тебе это не по барабану какие я вопросы задаю вообщето женщины молчат когда мужчины разговаривают
People
30 Мая 2013cosmos, а нубам развивать навыки либо пользоваться 1 версией, или платить не нубам чтоб делали все за нубов))
