Gameer
Постоялец
- Регистрация
- 25 Апр 2014
- Сообщения
- 187
- Реакции
- 118
Для устранения xss атаки
-
DONATE to NULLED!
Форуму и его команде можно помочь, мотивировать модераторов разделов. Помогите модератору этого раздела killoff лично.
Информация DataLife Engine v.11.2 Final Release
- Автор темы killoff
- Дата начала
Demon425
Постоялец
- Регистрация
- 9 Июл 2008
- Сообщения
- 472
- Реакции
- 120
Раз снизу эти куски вырезаются, значить причина чуть выше. А чуть выше там интерес может представлять только кусок:
Собственно за него отвечает function process($str) из typograf.class.php. Быть может в самой библиотеке есть дырка, о которой мы не знаем? И целсофт решил исправить прямо у себя, а не в сторонней библиотеке?
Это может быть единственных разумным объяснением...
Код:
$txt = $typo->process($txt);Это может быть единственных разумным объяснением...
Gameer
Постоялец
- Регистрация
- 25 Апр 2014
- Сообщения
- 187
- Реакции
- 118
В каком смысле вывода кода на экран нету? Возможно с помощью типографии можно было записать вредоносный код и заставить его отрабатывать или делать sql инъекцию. Это нужно дебажить, смотреть и изучать. Библиотека была заброшена несколько лет назад, по этому там может быть что угодно.
Demon425
Постоялец
- Регистрация
- 9 Июл 2008
- Сообщения
- 472
- Реакции
- 120
В общем есть уже более подробная информация по эксплуатации данной уязвимости.
Не знаю только почему целсофт присвоил ей статус "высокая", если она вообще критическая. Так еще и задним числом на сайте обновили фикс.
Не знаю только почему целсофт присвоил ей статус "высокая", если она вообще критическая. Так еще и задним числом на сайте обновили фикс.
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
Последнее редактирование:
DimaU
Постоялец
- Регистрация
- 5 Июл 2012
- Сообщения
- 130
- Реакции
- 5
Друзья, подскажите, подзабыл тонкости установки... Вчера на новый домен установил DLE 11.2 из первого поста темы. Там 3 варианта (папки), как понял: 11.2eng, 11.2utf8, просто 11.2. Устанавливал 11.2utf8 - правильно? Базу предварительно создал utf8. Выбираю шаблон кодировки cp1251 (такая кодировка только) - но знаки вопроса вместо русских букв... Что где не так или что пропустил в настройках?
Kristinka77
Гуру форума
- Регистрация
- 30 Янв 2015
- Сообщения
- 174
- Реакции
- 65
А чему вы удивляетесь? Вы устанавливаете движок в кодировке 11.2 utf8 а шаблон выбираете cp1251....Если движок в utf8 то и база и шаблон должны быть в этой кодировке. Ищите шаблон соответствующий или тот который уже есть в cp1251 перекодируйте в utf8
DimaU
Постоялец
- Регистрация
- 5 Июл 2012
- Сообщения
- 130
- Реакции
- 5
Да спасибо. Буду переустанавливать DLE. Правильно ли понял, что папка в архиве "11.2" (без букв, это смутило) - это кодировка cp1251?
Базу обязательно менять кодировку на 1251 (при создании, отлично от умолчания)?
Kristinka77
Гуру форума
- Регистрация
- 30 Янв 2015
- Сообщения
- 174
- Реакции
- 65
вы правильно поняли, без букв это и есть кодировка cp1251. База конечно же должна быть в той кодировке что и всё остальное.
P.S.
а не проще сам шаблон, все его файлы блокнотом перекодировать в utf8, чем переустанавливать весь движок и менять кодировку базы? Я например уже давно не пользуюсь кодировкой cp1251
Горбушка
Ищу её...
- Регистрация
- 2 Май 2008
- Сообщения
- 3.444
- Реакции
- 2.524
@Kristinka77, не верно. Точнее, не всё верно
@DimaU, отвечаю по порядку:
1) dle11.2eng - англоязычная версия движка в кодировки utf8, dle11.2 - версия DLE в кодировке cp1251, dle11.2utf - версия DLE в кодировки UTF-8
2) Перед тем, как ставить ту или иную версию нужно подумать. А подумать надо над используемой символьной таблице. utf-8 содержит символы помимо русских и английских. Если Ваши пользователи будут писать на, к примеру, немецком - Вам ставить utf-8 без вариантов.
Так же надо задуматься о настройках хостинга и сложности переезда. UTF-8 поддерживается 100% хостингов, серверами MySQL и т.д. С этой кодировкой НИКОГДА не бывает проблем. cp1251 - сугубо для СНГ, на зарубежных хостингах БЫВАЮТ проблемы, но редко. Кроме того, UTF-8 поддерживается 100% ПО для работы с файлами/базами, cp1251 может не поддерживаться, но опять же редко.
В плату за универсальность UTF-8 потребляет больше места на HDD, но при современной цене это не имеет значения
Для себя я всегда выбираю UTF-8 как международный стандарт.
3) База данных и файлы МОГУТ быть в разной кодировке. Для этого в параметрах подключения и указывается кодировка базы. Но, конечно, лучше всё иметь в одной кодировке.
4) Шаблон отображается вопросами - потому что в cp1251 и utf-8 разные символьные таблицы. И в utf-8 для кодов cp1251 не указаны символы, либо указаны иные символы. Вам нужно пересохранить шаблон в UTF-8 без BOM. И "блокнот" (стандартное виндовое приложение) для этой цели не подходит - нужен notepad++. В верхнем меню есть пункты "Перекодировать" и "Кодировать" - Вам надо использовать первый. второй - это открытие файла в другой кодировке, если она была не верно определена.
@DimaU, отвечаю по порядку:
1) dle11.2eng - англоязычная версия движка в кодировки utf8, dle11.2 - версия DLE в кодировке cp1251, dle11.2utf - версия DLE в кодировки UTF-8
2) Перед тем, как ставить ту или иную версию нужно подумать. А подумать надо над используемой символьной таблице. utf-8 содержит символы помимо русских и английских. Если Ваши пользователи будут писать на, к примеру, немецком - Вам ставить utf-8 без вариантов.
Так же надо задуматься о настройках хостинга и сложности переезда. UTF-8 поддерживается 100% хостингов, серверами MySQL и т.д. С этой кодировкой НИКОГДА не бывает проблем. cp1251 - сугубо для СНГ, на зарубежных хостингах БЫВАЮТ проблемы, но редко. Кроме того, UTF-8 поддерживается 100% ПО для работы с файлами/базами, cp1251 может не поддерживаться, но опять же редко.
В плату за универсальность UTF-8 потребляет больше места на HDD, но при современной цене это не имеет значения
Для себя я всегда выбираю UTF-8 как международный стандарт.
3) База данных и файлы МОГУТ быть в разной кодировке. Для этого в параметрах подключения и указывается кодировка базы. Но, конечно, лучше всё иметь в одной кодировке.
4) Шаблон отображается вопросами - потому что в cp1251 и utf-8 разные символьные таблицы. И в utf-8 для кодов cp1251 не указаны символы, либо указаны иные символы. Вам нужно пересохранить шаблон в UTF-8 без BOM. И "блокнот" (стандартное виндовое приложение) для этой цели не подходит - нужен notepad++. В верхнем меню есть пункты "Перекодировать" и "Кодировать" - Вам надо использовать первый. второй - это открытие файла в другой кодировке, если она была не верно определена.
Последнее редактирование: