Недочёт в скрипте SoooFast

Заметил я как-то раз в скрипте SoooFast такую вот штуковину, заходим в админ-панель сайта, перейдём на страницу добавления новостей, и в тексте пишем любой JS (или HTML) и при входе на сайт он активируется. А этого не должно быть.Заметил я как-то раз в скрипте SoooFast такую вот штуковину, заходим в админ-панель сайта, перейдём на страницу добавления новостей, и в тексте пишем любой JS (или HTML) и при входе на сайт он активируется. А этого не должно быть. К примеру давайте впишем такой вот JS:

<script>alert('Недочёт в скрипте SoooFast');</script>


Мы увидим при входе на сайт то, что Вы видите на скрине. Просто в SoooFast\’е почти нигде нету фильтраторов.

Откроем файл menuright.php, найдём код, который выводит новости сайта:

<?
require('config.php');
$sql="select * from tb_news order by id desc limit 1";
$res=mysql_query($sql);
$row=mysql_fetch_array($res);

echo "<img src="images/info.png" align="middle">&nbsp;<SPAN style='font-family: "Tahoma"; font-size: 10pt; font-weight: bold;'>";
echo $row["data"];
echo "</span><SPAN style='font-family: "Tahoma"; font-size: 10pt; font-weight: normal;'>";
echo " – ";
echo $row["newstext"];
echo "</span>";
?>


Каждый массив $row[]; профильтруем с помощью фильтратора:

htmlspecialchars();


У нас должно получится так:

htmlspecialchars($row["newstext"]);


И как Вы думаете, что у нас выйдет ? Сейчас узнаем, смотрим на скрин:

Недочёт в скрипте SoooFast

HTML, JS и т.п – больше не работают.

От плюсика не откажусь fellow

Автор публикации

не в сети 9 лет

cms-studio

Комментарии: 0Публикации: 2Регистрация: 12-06-2011

Понравилась статья? Поделись в соц. сетях:

Похожие новости

Отправить комментарий

avatar
wpDiscuz
Авторизация
*
*
Регистрация
*
*
*
Генерация пароля