Форум скриптов PHP

Форум скриптов PHP

Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP и различные подходы к реализации скриптов. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Чат, Анекдот и другие. Принимаются пожелания для новых версий. Пишите какой скрипт планируете увидеть, постараемся реализовать. Давайте сделаем бесплатные php скрипты лучше и доступны всем!

Главная сайта php скриптовГлавная сайта скриптов   ПоискПоиск  
Сегодня: 21.09.2019 - 21:35:25
Страницы:  1  
Форум скриптов PHP » WR-Board - доска объявлений Лайт/Люкс » Как закрыть дыру в доске
Объявление - WR-Scriptы в UTF-8 кодировке

Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список бесплатных php скриптов, которые уже переведены можно увидеть на главной странице сайта. Скачивайте обновлённые скрипты и устанавливайте на свой сайт! В ближайшее время обновлю форум Про, галерею, фотоальбом, доски объявлений лайт и ЛЮКС.

На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Работы продолжаются. Ура!

АвторСообщение

Эдуард

Э
гость

Со спамерами проблему решил, теперь не лезут целыми кучами. Но вот кто-то все-таки умудряется впхнуть код. Скорее всего XSS. К несчастью это проделать возможно.
Т.к. у меня уже скрипт довольно сильно модифицирован. Поэтому взял стандартный скрипт lite версии.
Файл add.php строчка 734.
<INPUT name=name class=maxiinput value=\"$name\" maxlength=30>
"$name не под фильтром
файл admin.php
строчка 877:
<form action='admin.php?event=add&rd=$rd' method=post name=REPLIER>
строчка 882:
<input type=hidden name=fnomer value=\"$rd\">
строчка 1067:
<table><tr><td width=10 bgcolor=#FF2244><B><a href='admin.php?id=$id&flname=$dt[10]&remxd=$z&page=$page'>.X.</a></B></td><td>
+ еще есть. Тоже все это не под фильтром.
Т.к. сам в php только начинаю разбираться, прошу помощи, думаю она будет полезна всем.

Вот что у меня вылезает.


И думаю полезно тем кто помогает оставлять номер кошелька, куда любой желающий может кинуть денежку в знак благодарности.

Сообщение # 1 30.07.13 - 15:26:34

WR

W
Участник форума

Эдуард, ошибка в блоке добавления объявлений. При добавлении объявления не фильтруется одно из полей. А те, кто размещает объявление добавляют символ перевода коретки (< br > ) там, где поставить его можно только через систему хрумер.

Сегодня поковыряюсь, исправлю. Когда будет готово - отпишусь в этой теме.

Сообщение # 2 17.08.13 - 11:17:46

WR

W
Участник форума

я вот смотрю и вижу, что скриншот ЛЮКС версии доски (где уже ошибка исправлена), а пишите Вы про лайт версию. Уточните, пожалуйста что у Вас за гибрид.

Сообщение # 3 17.08.13 - 11:30:24

Эдуард

Э
гость

Здравствуйте WR. Уже и не думал получить ответ. Я вам по этому поводу даже в кипер писал. Скрипт у меня действительно модифицирован, я об этом писал выше. Поэтому взял стандартный скрипт lite версии ТОЛЬКО для того чтобы показать где уязвимости.

Сообщение # 4 18.08.13 - 16:29:47
Форум скриптов PHP » WR-Board - доска объявлений Лайт/Люкс » Как закрыть дыру в доске
Привязать свою шапку. :Предыдущая темаСледующая тема: Как в компактной доске заменить ereg на preg
Страницы:  1  

Сообщение
Имя E-mail
Сообщение

Нажмите на точку возле имени для обращения к участнику

Смайлы:

Ещё смайлы
Эмодзи
         
Защитный код: (введите цифры, которые на синем фоне)
   
WR-Счётчик
Powered by WR-Forum Professional © 2.2.2