Заметил я как-то раз в скрипте SoooFast такую вот штуковину, заходим в админ-панель сайта, перейдём на страницу добавления новостей, и в тексте пишем любой JS (или HTML) и при входе на сайт он активируется. А этого не должно быть.Заметил я как-то раз в скрипте SoooFast такую вот штуковину, заходим в админ-панель сайта, перейдём на страницу добавления новостей, и в тексте пишем любой JS (или HTML) и при входе на сайт он активируется. А этого не должно быть. К примеру давайте впишем такой вот JS:
Мы увидим при входе на сайт то, что Вы видите на скрине. Просто в SoooFast\’е почти нигде нету фильтраторов.
Откроем файл menuright.php, найдём код, который выводит новости сайта:
require('config.php');
$sql="select * from tb_news order by id desc limit 1";
$res=mysql_query($sql);
$row=mysql_fetch_array($res);
echo "<img src="images/info.png" align="middle"> <SPAN style='font-family: "Tahoma"; font-size: 10pt; font-weight: bold;'>";
echo $row["data"];
echo "</span><SPAN style='font-family: "Tahoma"; font-size: 10pt; font-weight: normal;'>";
echo " — ";
echo $row["newstext"];
echo "</span>";
?>
Каждый массив $row[]; профильтруем с помощью фильтратора:
У нас должно получится так:
И как Вы думаете, что у нас выйдет ? Сейчас узнаем, смотрим на скрин:
HTML, JS и т.п — больше не работают.
От плюсика не откажусь 
Автор публикации
Отправить комментарий
Вы должны быть зарегистрированы чтобы оставить комментарий.
Вы должны быть зарегистрированы чтобы оставить комментарий.