Grand Forum 2 [BETA] безопастность .

В файлах , которые отвечают за создание форумов и категорий есть дыры , которые не обходимо закрыть . Не достаточная фильтрация данных , таким оброзом можно в названии категории или в описание форума выставить форму для загрузки шелла . Пофиксить легко , достаточно дописать фильтрацию htmlspecialchars() на вывод названия и описания форумов и так же на название категорий .

В Архиве пофиксенные файлы ! forum_fix

Grand Forum 2 [BETA] безопастность .: 5 комментариев

  1. А_А

    Есть вопросик…..

    Как тут в выводе названия форумов :

    $name = htmlspecialchars($arr2[‘name’]);

    Применить trim?

    Что то ти по $name = trim(htmlspecialchars($arr2[‘name’]));
    Не работает.

  2. webnet Автор записи

    Функция trim — Удаляет пробелы из начала и конца строки !
    Она там в принципе и не нужна вовсе .

  3. А_А

    А с правельным отображением » » как бороться?

  4. webnet Автор записи

    извени что так долго не отвечал , маил глючит .

    Так , что бы не коверкало скобки, убери проверку при добавление или замени ее на sqlesc()

Комментарии запрещены.