Dleshka.org
Авторизация

Баг-фикс Недостаточная фильтрация данных DLE 11.2 и ниже часть 2

0
TipTop 5-04-2017 Баг-фиксы DLE 1 комментарий
Недостаточная фильтрация данных DLE 11.2 и ниже часть 2



Проблема: Недостаточная фильтрация данных.


Ошибка в версии DLE: 11.2 и ниже


Степень опасности:Высокая


Для исправления откройте файл: /engine/go.php и найдите:

$url = @str_replace ( "&", "&", $url );



ниже добавьте:

$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] );
$url = str_replace ( "&", "&", $url );



Далее откройте файл: /engine/ajax/typograf.php и найдите:

$txt = trim( convert_unicode( $_POST['txt'], $config['charset'] ) );



ниже добавьте:

require_once ENGINE_DIR . '/classes/parse.class.php';
$parse = new ParseFilter();
$txt = $parse->process( $txt );
$txt = preg_replace( "/jаvascript:/i", "jаvascript:", $txt );
$txt = preg_replace( "/dаta:/i", "dаta:", $txt );
Информация
Зарегистрируйтесь чтобы комментировать публикацию.
tiptop
5 апреля 2017 16:53
+ 0 -
В предыдущей новости багфикса https://dleshka.org/dlebagfix/5874-nedostatochnaya-filtraciya-dannyh-dle-112-i-
ni
zhe.html
уже была правка но Celsoft в тихую добавил еще одну правку с файлом typograf.php.
Авторизация