Навигация
Главная
Бесплатные шаблоны dle
Платные шаблоны dle
Бесплатные модули dle
Хаки dle
Скачать DataLife Engine
Заработок для Web мастеров
Контакты
Rss
Вход на сайт
  Логин
  Пароль
Популярные новости

Баги: Недостаточная фильтрация входящих данных

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Низкая (сработает разве что на устаревших версиях браузера Opera)

Исправление:

Откройте файл: engine/modules/imagepreview.php

Найдите строку:

$_GET['image'] = htmlspecialchars ($_GET['image'], ENT_QUOTES);


Ниже вставьте:
$_GET['image'] = str_replace( "document.cookie", "", $_GET['image'] );
$_GET['image'] = str_replace( "javascript", "", $_GET['image'] );


if ( preg_match( "/[?&;%<[]]/", $_GET['image']) ) {

$_GET['image'] = "";

}


20-06-2008, 19:42 добавил lord
     просмотров 4267   комментариев (2)

написал dksnek    20 августа 2008 19:15   



 Группа: Посетители
 Регистрация: 20.08.2008
 Публикаций: 0
 Комментариев: 1
А как его вставить если на хосте стоит zend кодировка..)

А всё понял.


        

написал worTex    11 сентября 2008 05:35   



 Группа: Посетители
 Регистрация: 16.06.2008
 Публикаций: 0
 Комментариев: 4
Наверно лучше вот так ...
if(!isset($_GET['image'])){echo"alert('Ошибка!
9;);location.href='http://localhost/tests/new/engine/images.php?area=sho

rt_story&add_id='";}else{$image=$_GET['image'];}
$_GET['image'] = htmlspecialchars ($_GET['image'], ENT_QUOTES);
$_GET['image'] = str_replace( "document.cookie", "", $_GET['image'] );
$_GET['image'] = str_replace( "javascript", "", $_GET['image'] );


if ( preg_match( "/[?&;%<\[\]]/", $_GET['image']) ) {

$_GET['image'] = "";

}
wink