Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Исправления... 09.03.05 14:25 Число просмотров: 1643
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member Отредактировано 09.03.05 14:28 Количество правок: 1
|
> > мне, конечно, лестно что ты меня прям так на "Вы", но не > настолько > уж я и нагадил, чтоб от меня такую дистанцию держать ;))
OK, перехожу на "ты" ;).
> > > javascript ссылки в "адрес сайта", лечение - > разбор > > урлы, > > > отсечение схем кроме http > > > > Чего не надо допускать в ссылке, чтобы обезопасить её > от > > javascript? > > давать начинаться только с http:// и урленкодить > урленкодить урленкодить урленкодить урленкодить урленкодить >
Исправлено.
> > Далее ошибки.. > > когда выводятся значения полей внутрь input value="" , не > ескейпятся html символы. Т.ч ввести имя к примеру в личном > кабинете >>Василий "бронебойный"<< не удается. > Т.е. удается, но все имя не показывается.
"не ескейпятся"="не убираются"? Или как? :) Поясни, пожалуйста тут, а то непонятно, что нужно делать, чтобы исправить ;).
> Далее. Urlencode ты по прежнему игнорируешь, со всеми > вытекающими. К примеру, завел я узера n0xi0uzz"boom , > тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.
Исправлено.
> Когда выводятся данные по пользователю, нет урленкода, т.ч. > там тож разгул XSS
Исправлено.
> Он же, урленкод.. > имя пользователя test" disabled " - и данные юзера > нельзя просмотреть, ибо ссылка задизяблена..
Исправлено
> Далее - спуф админского имени - заводишь юзера "n0xi0uzz " > (без кавычек) и получается похожий чел.
А нужно ли запрещать ники, похожие на админские? ;)
> Юзер с пустым именем (вводишь = и поехали).. > Исправлено.
Долго мучался с urlencode, исправляя все ссылки :).
Кстати, саму функцию пришлось самому писать, вот она:
sub urlencode {
my $URLencode=shift;
$URLencode=~s/([^0-9A-Za-z_ ])/'%'.unpack('H2',$1)/ge;
$URLencode=~s/\s/+/g;
return $URLencode;
}
---
Спасибо за помощь ;).
|
|
|