Недостаточная фильтрация входящих данных

[Nektov]

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Средняя

Ручное исправление:

Откройте файл: engine/classes/parse.class.php

найдите:

$find= array(
'/about:/si',
'/vbscript:/si',
"'\[quote\]'si",
"'\

'si",
"'\[/quote\]'si",
);

$replace=array(
"about<b></b>:",
"vbscript<b></b>:",
"<!--QuoteBegin--><div class=\"quote\"><!--QuoteEBegin-->",
"<!--QuoteBegin \\1 --><div class=\"title_quote\">{$lang['i_quote']} \\1</div><div class=\"quote\"><!--QuoteEBegin-->",
"<!--QuoteEnd--></div><!--QuoteEEnd-->",
);

замените на:

$find= array(
'/about:/i','/vbscript:/i','/onclick/i','/onload/i','/onunload/i','/onabort/i',
'/onerror/i','/onblur/i','/onchange/i','/onfocus/i','/onreset/i','/onsubmit/i',
'/ondblclick/i','/onkeydown/i','/onkeypress/i','/onkeyup/i','/onmousedown/i',
'/onmouseup/i','/onmouseover/i','/onmouseout/i','/onselect/i','/javascript/i',
"'\[quote\]'si",
"'\

'si",
"'\[/quote\]'si",
);

$replace=array(
"about:","vbscript<b></b>:","onclick","onload","onunload",
"onabort","onerror","onblur","onchange","onfocus",
"onreset","onsubmit","ondblclick","onkeydown","onkeypress",
"onkeyup","onmousedown","onmouseup","onmouseover",
"onmouseout","onselect","javascript",
"<!--QuoteBegin--><div class=\"quote\"><!--QuoteEBegin-->",
"<!--QuoteBegin \\1 --><div class=\"title_quote\">{$lang['i_quote']} \\1</div><div class=\"quote\"><!--QuoteEBegin-->",
"<!--QuoteEnd--></div><!--QuoteEEnd-->",
);

Лучше обновляться с дистрибутива

 

[Shotlandec]

"Лучше обновляться с дистрибутива" - данная строка и на офф сайте есть, в чем загвоздка? почему именно лучше из дистрибутива? Модули ставим пачками, сами знаете как, то есть ковыряемся в самих исходниках движка...

 

[Горбушка]

Загвоздка вот в чём: на оф. сайт ходят владельцы лицензионной сборки, а сюда - null =)

С дистрибутива обновляться лучше, ибо проверка на null + лишний гемор с модулями...

Обновляйте так, нафиг исходники...

 

[kwin]

Возможно чтобы у не очень опытных пользователей не возникало лишних вопросов что и как, и соответсвенно лишних проблем и вопросов в тех.поддержку.

Возможно потомучто изначально парсер пожрал "/".

 

[glam]

Nektov посмотри на первый пост, тебя он устраивает? Я не видел оригинала и вижу что он косячный, если ты и используешь код при постинге так и ставь соответствующие теги. То что есть сейчас ни в коем случае применять и ставить нельзя. Исправляй, умник. Лишь бы пост поднабить. Достали.

 

[lift]

вообще типа как дубль
Для просмотра ссылки Войди или Зарегистрируйся
я давно уже залатал дырку. Ну как давно, после выхода заплатки минут через 15