Помощь Как вставить в новость <action='http://site.ru'>

Тема в разделе "DLE", создана пользователем aleksey246, 11 фев 2009.

Информация :
Актуальная версия DataLife Engine 11.3
( Final Release v.11.3 | Скачать DataLife Engine | Скачать 11.3 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.2 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. aleksey246

    aleksey246 Постоялец

    Заблокирован
    Регистр.:
    14 май 2007
    Сообщения:
    119
    Симпатии:
    88
    В некоторые новости нужно вставлять такой код
    Код:
    <form method='POST' action='http://site.ru/link.php'>
    <input type='hidden' name='name' value='test.rar'>
    <input type='submit' value='скачать'>
    </form>
    Но когда я его вставляю и добавляю новость на выходе получается вот что:
    Код:
    <form method="POST"><br />
    <input type="hidden" name="name" value="test.rar" /><br />
    <input type="submit" value="скачать" /><br /></form></div>
    Как это исправить?

    Версия DLE 7.5
     
  2. $aSH

    $aSH

    Регистр.:
    3 ноя 2006
    Сообщения:
    536
    Симпатии:
    233
    предположу, что тут

    \engine\classes\parse.class.php 38 строка
    Код:
    	var $attrBlacklist = array ('action', 'background', 'codebase', 'dynsrc', 'lowsrc' );
    
    заменить на
    Код:
    	var $attrBlacklist = array ('background', 'codebase', 'dynsrc', 'lowsrc' );
    
     
    aleksey246 нравится это.
  3. jred

    jred

    Регистр.:
    16 сен 2008
    Сообщения:
    383
    Симпатии:
    39
    чтобы не было <br /> убери галочку у автоматического конвертирования переноса строк или пиши весь код в одно строку.

    А актион вроде режет парсер...
     
  4. aleksey246

    aleksey246 Постоялец

    Заблокирован
    Регистр.:
    14 май 2007
    Сообщения:
    119
    Симпатии:
    88
    $aSH благодарю, помогло. Вот только насколько я безопасность скрипта уменьшил?
     
  5. pozerovnet

    pozerovnet

    Регистр.:
    31 янв 2008
    Сообщения:
    400
    Симпатии:
    11
    Настолько, насколько опасен action ;)
     
  6. best

    best

    Регистр.:
    12 апр 2006
    Сообщения:
    246
    Симпатии:
    54
    Тоесть любая иньекция... Лучше в админке проверку отключить, а пользователям всетаки нужно по полной права урезать.
     
  7. $aSH

    $aSH

    Регистр.:
    3 ноя 2006
    Сообщения:
    536
    Симпатии:
    233
    какая в жопу иньекция?! максимум создание формы и отсыл введеных данных на "лево".

    и то, если есть права добавлять новости без премодерации и использовать html у пользователей
     
    aleksey246 нравится это.
Статус темы:
Закрыта.