Информация DataLife Engine v.11.2 Final Release

[Demon425]

Стесняюсь спросить, почему вообще не используются встроенные возможности самого РНР ?
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

$url = filter_var($url, FILTER_SANITIZE_URL);
$url = filter_var($url, FILTER_SANITIZE_STRING);

Вообще конструкций как бы много разных, банальщина а-ля

$url = strip_tags($url);

Celsoft человек конечно интересный... скриптов уже продано такое количество, что боюсь даже представить. Но как потратить денег на независимый аудит - зачем деньги тратить, правда?)

 

[killoff]

Странная логика у целки, в предверии финала 11.3 они снова обновили архив 11.2, на этот раз они правили только файл \engine\ajax\typograf.php
строку 71

if( function_exists( "get_magic_quotes_gpc" ) && get_magic_quotes_gpc() ) $txt = stripslashes( $txt );

заменили на

require_once ENGINE_DIR . '/classes/parse.class.php';
$parse = new ParseFilter();
$txt = $parse->process( $txt );
$txt = preg_replace( "/javascript:/i", "jаvascript:", $txt );
$txt = preg_replace( "/data:/i", "dаta:", $txt );

 

[Kristinka77]

Для просмотра ссылки Войди или Зарегистрируйся , а за что отвечает этот кусок кода ? Надо ли у себя на сайте это откорректировать ?

 

[killoff]

Для просмотра ссылки Войди или Зарегистрируйся , а за что отвечает этот кусок кода ? Надо ли у себя на сайте это откорректировать ?

на это возможно сможет ответить @Горбушка

 

[Горбушка]

За всё ответят комуняки (с)

Ну глобально, файл отвечает за "Типографскую обработку текста"... Не помню, во всех ли редакторах есть, но в режиме bbcode есть кнопка "Типографская обработка текста" - по нажатию на неё вызывается AJAX, который приводит текст к неким нормам - чтобы не было переносов 1 буквы, правильные кавычки и т.д.

Зачем был добавлен этот код в душе не ... . Ниже уже есть обработчик, который вырезает "data:" и "javascript" из статей - зачем добавили раньше... Сложно сказать. Надо глубоко копать typograf.class.php - возможно там есть какая-то уязвимость, что решили вырезать эти 2 параметра раньше, чем было всегда...

Указаний на фиксы на сайте автора этого тапогрофа нет, сообщений о серьёзных багах - тоже... Так что что это было остаётся загадкой. Впрочем, автор забил на класс ещё в 2014 году...

 

[killoff]

Актуальные кеши на 07-00 06.04.2017, архивы в первом посту обновлены.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[Demon425]

Собственно задним числом (06 марта 2017) дополнен патч Для просмотра ссылки Войди или Зарегистрируйся

 

[Горбушка]

@Demon425, обсуждали парой постов выше...
Кто найдёт что фиксит - напишите мне в личку... Мне интересно что фиксит, а не как использовать...

 

[Kristinka77]

Значит так, на сервере стоит сайт 11.2 версия, дома на локальном его копия, всё точь в точь. На локальном сделала исправления в типографе, создала дамп базы из админки сайта. На сервере ничего не изменяла в типографе. Этот дамп закачала на сервер, и на сервере решила восстановить из этого дампа...Не фигаськи не получилось, на второй таблице вышла ошибка и процесс остановился. Откатилась на предыдущий дамп. Потом дома на локальном убрала эти правки в типографе, снова сделала дамп из админки локального сайта, закачала на сервер и удачно восстановила там базу, без единой ошибки. Вывод из всего...значит этот типограф как то влияет на базу, раз не правленный сайт не принял дамп сделанный на сайте с этой поправкой.

 

[Горбушка]

Вывод из всего

Вывод не правильный... При экспорте/импорте базы данных данный файл не участвует. Он участвует только в момент нажатия кнопки bbcode...
Правильный вывод:
Была ошибка в дампе, либо сервер не выдержал нагрузку. Нужно смотреть код ошибки.