Defin 0 Опубликовано: 11 января 2009 Рассказать Опубликовано: 11 января 2009 (изменено) Если при добавлении новостей в заголовке указать например <script src="http://autocontext.begun.ru/autocontext2.js" type="text/javascript" (именно так, не закрывая) - то в админке в редактировании новостей все слетает и не выводится ничего кроме даты новости. (обрезается на выводе заголовка). Если публикация идет без модерации, то и на самом сайте соответственно все перекорежит. Нужно идти в базу и в тайтле новости либо все чистить, либо убирать символ < (кстати, он почему-то не преобразованный там написан. Кстати в короткой и полной версии тоже не преобразуется этот символ, в дополнительных полях - преобразуется) Можно парализовать работу админки на любом сайте с DLE где есть публикация новостей любым пользователем )) Владельцы DLE - прверьте у себя. Попытайтесь добавить новость с таким заголовком (приведен выше), только не публикуйте ее, а потом зайдите в "Редактирование новостей" в админке. Версия: 7.3 Сайт: http://cherepanov-fond.ru/ и другие сайты (проверял на 4 разных с лицензией без доп.модулей и хаков) Изменено 11 января 2009 пользователем Defin Цитата Ссылка на сообщение Поделиться на других сайтах
kosen 3 Опубликовано: 11 января 2009 Рассказать Опубликовано: 11 января 2009 В новостях запрещено использовать скрипты... И потом, зачем Вам скрипты в заголовках? Цитата Ссылка на сообщение Поделиться на других сайтах
Defin 0 Опубликовано: 11 января 2009 Рассказать Опубликовано: 11 января 2009 Автор Я моделировал различные случаи ввода данных в форму пользователями и наткнулся на такое. Еще раз, если на сайте разрешено добавление новостей пользователями, то - в случае премодерации новостей - попортиться работа вкладки редактирования новостей в админке - в случае отсутствия модерации - попортится сам сайт. Все заглохнет на выводе такого заголовка. Это тем кто понимает в чем дело - раз плюнуть зайти в базу и поправить там, а тем кто не понимает что делать? Цитата Ссылка на сообщение Поделиться на других сайтах
Al-x 7 Опубликовано: 11 января 2009 Рассказать Опубликовано: 11 января 2009 С чем-то подобным я уже сталкивался на форуме... Форум использует парсер двига. Правда пока не разбирался в причинах, просто принял во внимание... У меня там версия ниже 7,3. Если это действует на лицензии, то это баг, т.к. пользователи могут напихать всё что угодно и куда угодно, имхо. Цитата Ссылка на сообщение Поделиться на других сайтах
mitriy 5 Опубликовано: 11 января 2009 Рассказать Опубликовано: 11 января 2009 еще как действует. пару сайтов уже не работает. я не из вредности я теста ради но надо фиксить срочно. Цитата Ссылка на сообщение Поделиться на других сайтах
link 0 Опубликовано: 11 января 2009 Рассказать Опубликовано: 11 января 2009 (изменено) пока так попробуйте в modules/addnews.php найти $title = $db->safesql($parse->process(trim($_POST['title']))); заменить на $title = $db->safesql($parse->process(trim(stripslashes(strip_tags($_POST['title']))))); Изменено 11 января 2009 пользователем link Цитата Ссылка на сообщение Поделиться на других сайтах
Defin 0 Опубликовано: 11 января 2009 Рассказать Опубликовано: 11 января 2009 Автор Спасибо. Хочется чтобы это как-то было учтено в новой версии. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 993 Опубликовано: 11 января 2009 Рассказать Опубликовано: 11 января 2009 http://dle-news.ru/bags/v73/537-oshibka-pa...v-novostej.html Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.