Добро пожаловать, Гость!
* Войти Зарегистрироваться
:: + Добавить ссылку через биллинг :: + Добавить ссылку анонимно
Тема закрыта для обсуждения
Дыры в движке - Страница 2
Архив закрытых тем | Дыры в движке
Искатель * :

Дыры в движке

30 Мая 2013
Расскажу немного о дырах которые обноружены были или еще будут.
В dcms 6 ветки если не ошибаюсь опасные символы вырезались при записи в базу данных и не фильтровались вообще никак, далее модификация fiera уже проверяла на наличие опасных символов и просто не позволяла запись, потом уже в этом моде нам понадобилось разрешение любых символов (хотя я по началу тоже пользовался запретом) строки экранировались с помощью my_esc() и выводилось через output_text() или htmlspecialchars(). Итак, по многочисленным просьбам было решено отказаться от проверки на запрещенные символы, и я практически везде сделал их пропуск, конечно же я везде где можно было сделал фильтрацию при выводе. Но как это обычно бывает, сегодня разрешил запрещенные символы, а завтра уже забыл что разрешал, от сюда и образовалить не фильтрованные названия тем, нефильтрованные данные в дневниках, зоне обмена и т.п. Практически везде где обнаруживались такие засады, я их устранял. От ныне запись в базу фильтруется через my_esc и выводится через htmlspecialchars, в следующей версии думаю таких багов и дыр не должно быть, так как все моды практически полность переписываются smile Так что особо на меня не ругаемся, потому что я так же как и вы начинающий web мастер, поэтому я тоже могу ошибаться.
Ps.: Я не критикую оригинал Dcms или Fiera все эти движки хороши и респект их автору и модификаторам. Если бы не они, мы бы тут не сидели. Любая работа заслуживает уважения.)
Тема закрыта Cистема
Статистика WMID автора:
* 911708189410 BL
Претензии | Отзывы
Комментарии:
cosmos * 30 Мая 2013
Искатель, Мда а что нубам нужно будет делать????
Desvi * 30 Мая 2013
Круто буду ждать новой версии.
deminxxx 30 Мая 2013
Warning: closedir() expects parameter 1 to be resource, boolean given in /home/u164242627/public_html/adm_panel/index.php on line 60
Vity90 * 23 Мая 2013
Искатель, всё понял спасибо ждём)
People * 23 Мая 2013
Vity90, ну конечно) Однако те модули которые отдельно ставили, придется переписывать немного, в основном это изменить шапку, и приписать метод класса к функциям. Пример: avatar(); => user::avatar();
Монстрик * 23 Мая 2013
People (23 Мая 2013):
active, да что то много разговоров о дырах, и о том что это очередная го*но cms. Я за этот год как начал работать с php ни разу не назвал себя кодером, да и не считаю себя таковым))
Искатель, адрес отправления таким, что чужой труд только хаять могут, на три буквыsmile a я не парюсь по этому поводу, надеюсь на общую фильтрацию по сайту.
Vity90 * 23 Мая 2013
Искатель, о круто! Будем ждать) так эту версию точно можна будет обновить до 2.0?
< 1 2 3 4 >
*
* Форум | Сайт/Форум | Архив закрытых тем
DCMS-Social.ru - движок социальной сети, вап и веб мастерская, файло-обменник и форум.
Статистика DCMS-Social.ru: Пользователей - 15031, тем на форуме - 30299, сообщений - 298935
Размещение рекламы
PGen: 1.408сек
© 2012 - 2025 гг.
www.megastock.com Statok.net GiStaT.RU - Рейтинг мобильных сайтов KatStat.ru - Топ рейтинг сайтов