Перейти к публикации

баг при добавлении новостей


Рекомендованные сообщения

Если при добавлении новостей в заголовке указать например <script src="http://autocontext.begun.ru/autocontext2.js" type="text/javascript"

(именно так, не закрывая) - то в админке в редактировании новостей все слетает и не выводится ничего кроме даты новости. (обрезается на выводе заголовка). Если публикация идет без модерации, то и на самом сайте соответственно все перекорежит.

Нужно идти в базу и в тайтле новости либо все чистить, либо убирать символ < (кстати, он почему-то не преобразованный там написан. Кстати в короткой и полной версии тоже не преобразуется этот символ, в дополнительных полях - преобразуется)

Можно парализовать работу админки на любом сайте с DLE где есть публикация новостей любым пользователем ))

Владельцы DLE - прверьте у себя. Попытайтесь добавить новость с таким заголовком (приведен выше), только не публикуйте ее, а потом зайдите в "Редактирование новостей" в админке.

Версия: 7.3

Сайт: http://cherepanov-fond.ru/ и другие сайты (проверял на 4 разных с лицензией без доп.модулей и хаков)

Изменено пользователем Defin
Ссылка на сообщение
Поделиться на других сайтах

В новостях запрещено использовать скрипты...

И потом, зачем Вам скрипты в заголовках?

Ссылка на сообщение
Поделиться на других сайтах

Я моделировал различные случаи ввода данных в форму пользователями и наткнулся на такое.

Еще раз, если на сайте разрешено добавление новостей пользователями, то

- в случае премодерации новостей - попортиться работа вкладки редактирования новостей в админке

- в случае отсутствия модерации - попортится сам сайт. Все заглохнет на выводе такого заголовка.

Это тем кто понимает в чем дело - раз плюнуть зайти в базу и поправить там, а тем кто не понимает что делать?

Ссылка на сообщение
Поделиться на других сайтах

С чем-то подобным я уже сталкивался на форуме... Форум использует парсер двига. Правда пока не разбирался в причинах, просто принял во внимание... У меня там версия ниже 7,3.

Если это действует на лицензии, то это баг, т.к. пользователи могут напихать всё что угодно и куда угодно, имхо.

Ссылка на сообщение
Поделиться на других сайтах

пока так попробуйте

в modules/addnews.php


найти $title = $db->safesql($parse->process(trim($_POST['title'])));



заменить на


$title = $db->safesql($parse->process(trim(stripslashes(strip_tags($_POST['title'])))));

Изменено пользователем link
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...