Новости с комментариями для скриптов Фруктовой Фермы 2017-11-16

roug13 · 16 Ноя 2017

Пользователь roug13 разместил новый ресурс:

Новости с комментариями для скриптов Фруктовой Фермы - Модуль для FF Новости с комментариями бесплатно.

Модуль для FF Новости с комментариями бесплатно. Данный модуль позволяет комментировать новости на сайте. Качаем, тестируем.

Узнать больше об этом ресурсе...

geronimo · 16 Ноя 2017

где скрин? как насчет дыр?

pligin · 16 Ноя 2017

geronimo написал(а):
где скрин? как насчет дыр?

там кода-то пару строк... даже не знаю что там можно замаскировать...

geronimo · 17 Ноя 2017

pligin написал(а):
там кода-то пару строк... даже не знаю что там можно замаскировать...

фильтрацию пропустить

pligin · 17 Ноя 2017

geronimo написал(а):
фильтрацию пропустить

))))
а новости что ли пользователи добавляют?
Да, я видел много скриптов, в которых производят фильтрацию данных при выводе из базы... А еще даже видел вывод строки (не из переменной) с фильтрацией...

PHP:

exit(htmlspecialchars(trim($_POST['m_orderid'].'|error')));

параноики...
Фильтровать нужно данные при обработке, а не при выводе...

geronimo · 18 Ноя 2017

ну так новости с комментариями,т.е комментировать новость могут пользователи и получается что есть код для ввода данных который нужно фильтровать
И на сколько мне известно в нескольких версия в данного модуля не было фильтрации или было но полная

pligin · 18 Ноя 2017

geronimo написал(а):
ну так новости с комментариями,т.е комментировать новость могут пользователи и получается что есть код для ввода данных который нужно фильтровать
И на сколько мне известно в нескольких версия в данного модуля не было фильтрации или было но полная

Забыл момент с комментариями...
В PHP есть функция фильтра filter_var, используй ее

geronimo · 19 Ноя 2017

pligin написал(а):
Забыл момент с комментариями...
В PHP есть функция фильтра filter_var, используй ее

так это достаточно или нет

Код:

$com = $db->RealEscape($_POST['comment']);//Фильтрация

мне кажется что нет

pligin · 19 Ноя 2017

geronimo написал(а):
так это достаточно или нет

Код:

$com = $db->RealEscape($_POST['comment']);//Фильтрация

мне кажется что нет

а в ман заглянуть?...

mysqli::real_escape_string -- mysqli_real_escape_string — Экранирует специальные символы в строке для использования в SQL выражении, используя текущий набор символов соединения

достаточно. чтобы избавиться от html тегов можно еще использовать htmlspecialchars
А проще использовать очищающий фильтр php FILTER_SANITIZE_STRING
Фильтров в php достаточно для любых типов данных

pligin · 19 Ноя 2017

забыл...
в php также есть фильтры валидации данных, что избавит от придумывания регулярок и проверок данных на валидность