Добро пожаловать, Гость!
:: + Добавить ссылку через биллинг
:: + Добавить ссылку анонимно
❤️МИР, ЯРКИХ ЗНАКОМСТВ И ОБЩЕНИЯ!❤️
❤️МИР, ЯРКИХ ЗНАКОМСТВ И ОБЩЕНИЯ!❤️
Тема закрыта для обсуждения
Дыры в движке - Страница 0
Архив закрытых тем | Дыры в движке
Искатель
:
Расскажу немного о дырах которые обноружены были или еще будут.
В dcms 6 ветки если не ошибаюсь опасные символы вырезались при записи в базу данных и не фильтровались вообще никак, далее модификация fiera уже проверяла на наличие опасных символов и просто не позволяла запись, потом уже в этом моде нам понадобилось разрешение любых символов (хотя я по началу тоже пользовался запретом) строки экранировались с помощью my_esc() и выводилось через output_text() или htmlspecialchars(). Итак, по многочисленным просьбам было решено отказаться от проверки на запрещенные символы, и я практически везде сделал их пропуск, конечно же я везде где можно было сделал фильтрацию при выводе. Но как это обычно бывает, сегодня разрешил запрещенные символы, а завтра уже забыл что разрешал, от сюда и образовалить не фильтрованные названия тем, нефильтрованные данные в дневниках, зоне обмена и т.п. Практически везде где обнаруживались такие засады, я их устранял. От ныне запись в базу фильтруется через my_esc и выводится через htmlspecialchars, в следующей версии думаю таких багов и дыр не должно быть, так как все моды практически полность переписываются Так что особо на меня не ругаемся, потому что я так же как и вы начинающий web мастер, поэтому я тоже могу ошибаться.
Ps.: Я не критикую оригинал Dcms или Fiera все эти движки хороши и респект их автору и модификаторам. Если бы не они, мы бы тут не сидели. Любая работа заслуживает уважения.)
Дыры в движке
30 Мая 2013Расскажу немного о дырах которые обноружены были или еще будут.
В dcms 6 ветки если не ошибаюсь опасные символы вырезались при записи в базу данных и не фильтровались вообще никак, далее модификация fiera уже проверяла на наличие опасных символов и просто не позволяла запись, потом уже в этом моде нам понадобилось разрешение любых символов (хотя я по началу тоже пользовался запретом) строки экранировались с помощью my_esc() и выводилось через output_text() или htmlspecialchars(). Итак, по многочисленным просьбам было решено отказаться от проверки на запрещенные символы, и я практически везде сделал их пропуск, конечно же я везде где можно было сделал фильтрацию при выводе. Но как это обычно бывает, сегодня разрешил запрещенные символы, а завтра уже забыл что разрешал, от сюда и образовалить не фильтрованные названия тем, нефильтрованные данные в дневниках, зоне обмена и т.п. Практически везде где обнаруживались такие засады, я их устранял. От ныне запись в базу фильтруется через my_esc и выводится через htmlspecialchars, в следующей версии думаю таких багов и дыр не должно быть, так как все моды практически полность переписываются Так что особо на меня не ругаемся, потому что я так же как и вы начинающий web мастер, поэтому я тоже могу ошибаться.
Ps.: Я не критикую оригинал Dcms или Fiera все эти движки хороши и респект их автору и модификаторам. Если бы не они, мы бы тут не сидели. Любая работа заслуживает уважения.)
Тема закрыта Cистема
Комментарии:
Activizator 23 Мая 2013
За что ругаться-то? За твой безкорысливый труд? У кого руки из нужного места ростут - сами доисправят
______________________
Здрасте
За что ругаться-то? За твой безкорысливый труд? У кого руки из нужного места ростут - сами доисправят
______________________
Здрасте