Реклама





РЕКЛАМА

UpgradeHost


недорогая реклама в интернете
ОНЛАЙН НА САЙТЕ
Всего на сайте: 2
Пользователей: 0
Гостей: 2
Недочёт в скрипте SoooFast
Автор: Hitman | Дата: 22-07-2012, 18:39 | Комментариев: 0 | Просмотров: 1145
Недочёт в скрипте SoooFast

Заметил я как-то раз в скрипте SoooFast такую вот штуковину, заходим в админ-панель сайта, перейдём на страницу добавления новостей, и в тексте пишем любой JS (или HTML) и при входе на сайт он активируется. А этого не должно быть.
К примеру давайте впишем такой вот JS:
<script>alert('Недочёт в скрипте SoooFast');</script>

Мы увидим при входе на сайт то, что Вы видите на скрине. Просто в SoooFast'е почти нигде нету фильтраторов.

Откроем файл menuright.php, найдём код, который выводит новости сайта:
<?
require('config.php');
$sql="select * from tb_news order by id desc limit 1";
$res=mysql_query($sql);
$row=mysql_fetch_array($res);

echo "<img src="images/info.png" align="middle">&nbsp;<SPAN style='font-family: "Tahoma"; font-size: 10pt; font-weight: bold;'>";
echo $row["data"];
echo "</span><SPAN style='font-family: "Tahoma"; font-size: 10pt; font-weight: normal;'>";
echo " - ";
echo $row["newstext"];
echo "</span>";
?>

Каждый массив $row[]; профильтруем с помощью фильтратора:
htmlspecialchars();

У нас должно получится так:
htmlspecialchars($row["newstext"]);

И как Вы думаете, что у нас выйдет ? Сейчас узнаем, смотрим на скрин:
Недочёт в скрипте SoooFast

HTML, JS и т.п - больше не работают. wink

Скачивание на максимальной скорости и без рекламы, доступно только для пользователей - зарегистрируйтесь!
Для Гостей, доступно скачивание только через DepositFiles!




Теги: Недочёт в скрипте SoooFast

 (голосов: 2)
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.