Навигация
Главная
Бесплатные шаблоны dle
Платные шаблоны dle
Бесплатные модули dle
Хаки dle
Скачать DataLife Engine
Заработок для Web мастеров
Контакты
Rss
Вход на сайт
  Логин
  Пароль
Популярные новости
Реклама

Недостаточная фильтрация входящих данных

Фикс для версии 7.2


Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Средняя

Ручное исправление:

Откройте файл: engine/inc/functions.inc.php

найдите:
function check_xss () {

$url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

if ($url) {

if ((strpos($url, '') !== false) ||
(strpos($url, '"') !== false) ||
(strpos($url, './') !== false) ||
(strpos($url, '../') !== false) ||
(strpos($url, ''') !== false) ||
(strpos($url, '.php') !== false)
)
{

if ($_GET['mod'] != "editnews" OR $_GET['action'] != "list") die("Hacking attempt!");

}

}

}



Замените на:
function check_xss () {

$url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

if ($url) {

if ((strpos($url, '') !== false) ||
(strpos($url, '"') !== false) ||
(strpos($url, './') !== false) ||
(strpos($url, '../') !== false) ||
(strpos($url, ''') !== false) ||
(strpos($url, '.php') !== false)
)
{

if ($_GET['mod'] != "editnews" OR $_GET['action'] != "list") die("Hacking attempt!");

}

}

$url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));

if ($url) {

if ((strpos($url, '') !== false) ||
(strpos($url, '"') !== false) ||
(strpos($url, ''') !== false)
)
{

die("Hacking attempt!");

}

}

}


Откройте файл: engine/modules/functions.php

найдите:
function check_xss () {

$url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

if ($url) {

if ((strpos($url, '') !== false) ||
(strpos($url, '"') !== false) ||
(strpos($url, './') !== false) ||
(strpos($url, '../') !== false) ||
(strpos($url, ''') !== false) ||
(strpos($url, '.php') !== false)
)
{
if ($_GET['do'] != "search" OR $_GET['subaction'] != "search") die("Hacking attempt!");
}

}

}


Замените на:
function check_xss () {

$url = html_entity_decode(urldecode($_SERVER['QUERY_STRING']));

if ($url) {

if ((strpos($url, '') !== false) ||
(strpos($url, '"') !== false) ||
(strpos($url, './') !== false) ||
(strpos($url, '../') !== false) ||
(strpos($url, ''') !== false) ||
(strpos($url, '.php') !== false)
)
{
if ($_GET['do'] != "search" OR $_GET['subaction'] != "search") die("Hacking attempt!");
}

}


$url = html_entity_decode(urldecode($_SERVER['REQUEST_URI']));

if ($url) {

if ((strpos($url, '') !== false) ||
(strpos($url, '"') !== false) ||
(strpos($url, ''') !== false)
)
{
if ($_GET['do'] != "search" OR $_GET['subaction'] != "search") die("Hacking attempt!");

}

}

}


1 октября 2008 добавил Purgen
     просмотров 4734   комментариев (1)

написал papercut    22 октября 2008 21:26   



 Группа: Посетители
 Регистрация: 22.10.2008
 Публикаций: 0
 Комментариев: 1
Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /home/phoenix/domains/about.z-mega.ru/public_html/engine/modules/functions.php on line 732

мдя, не впечатлило...


        

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.














Rambler's Top100

Яндекс цитирования