Регистрация

Недостаточная фильтрация данных DLE 11.2 и ниже

TipTop 5-04-2017, 16:37 191 Баг-фиксы DLE

Недостаточная фильтрация данных DLE 11.2 и ниже


Проблема: Недостаточная фильтрация данных.

Ошибка в версии DLE: 11.2 и ниже

Степень опасности: Высокая

Для исправления откройте файл: /engine/go.php и найдите:
$url = @str_replace ( "&", "&", $url );


ниже добавьте:
$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] );
$url = str_replace ( "&", "&", $url );


Далее откройте файл: /engine/ajax/typograf.php и найдите:
$txt = trim( convert_unicode( $_POST['txt'], $config['charset'] ) );


ниже добавьте:
require_once ENGINE_DIR . '/classes/parse.class.php';
$parse = new ParseFilter();
$txt = $parse->process( $txt );
$txt = preg_replace( "/javascript:/i", "jаvascript:", $txt );
$txt = preg_replace( "/data:/i", "dаta:", $txt );

Другие публикации по категории:

Недостаточная фильтрация данных DLE 11.2 и ниже

Недостаточная фильтрация данных для DLE 11.1 и ниже

Правка в авторизации с использованием Facebook

Фикс рейтинга новостей для DLE 10.4

Баг-Фикс в DLE 10.4


Комментарии (1)

avatar
#1 Пользователь offline TipTop
В предыдущей новости багфикса http://dleshka.org/dlebagfix/5874-nedostatochnaya-filtraciya-dannyh-dle-112-i-ni
zhe.html
уже была правка но Celsoft в тихую добавил еще одну правку с файлом typograf.php.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Powered by Dleshka.org. Сайт предназначен для выбора шаблонов и дополнений с использованием CMS DataLife Engine.
Закрыть