Перейти к публикации

Баги с разбивкой слов


Рекомендованные сообщения

celsoft, я вам пару недель назад скинул описание пары багов, касающихся разбивки длинных слов.

Баг касается разбивки длинных слов. Если в настройках сайта включён редактор WYSIWYG, то можно спокойно обойти экранирование кавычки и вызвать ошибку базы.

Второй баг с переносом слов, если последняя буква в тегах [ b ] например. В таком случаи слово не разбивается.

Когда будет написано исправление этих ошибок? Т.к. первый баг можно отнести к высокому уровню опасности, как сегодняшний баг с поиском (хотя его можно и к среднему уровню отнести). Второй баг тоже мало приятен и одним обновлением дистрибутива не обойтись, т.к. эти баги нужно закрывать во всех версиях движка.

  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах

ShapeShifter,

Вне версий выходят только исправления уязвимостей, а не ошибок. Ошибки исправляются планово с выходом новых версий. Ошибка и уязвимость это абсолютно разные вещи.

Ссылка на сообщение
Поделиться на других сайтах

Но вы сегодня опубликовали правку уязвимости в поиске, хотя на сколько я понял там просто пустой запрос в базу идёт, без инъекций и т.п. и это гораздо ближе к багу, нежели уязвимости.

Тоже самое со вторым багом, там вообще только с правами админа можно вызвать ошибку, помню раньше на подобные ошибки вы вообще внимания не обращали, гоовря, что добраться до данной ошибки может только тот у кого есть определённые права, а эти права выдают администраторы сайтов - значит они и виноваты.

Тем более второй баг мало приятен будет сайтам, хоть и не несёт какой-либо опасности, но чисто внешне дизайн попалзёт...

P.S.Вынесите правку "уязвимости" на главную страницу, если бы не тема на форуме я бы вообще не заметил эту новость, т.к. раньше вы публиковали на главной всё что касается багов движка.

  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах

ShapeShifter,

Сегодня была исправлена именно уязвимость, а не просто ошибка. Не буду же вам описывать как можно атаковывать сайты.

Ссылка на сообщение
Поделиться на других сайтах

Описывать и не нужно) Просто я говорю, что все баги нужно бы публиковать, а тачнее багфиксы, т.к. крупные проекты не могут обновляться каждый раз. Многие раз в 2-3 версии только обновляются или ещё реже, таким образхом у них накапливается куча скытых уязвимостей/багов.

Да, можно ответить, что сами виноваты и для того и существуют обновления, но нужно войти в их положение - куча хаков и модулей, переустанавливать это всё долго и не всегда есть время.

Если уж не хотите напрямую писать какие баги найдены, то хотя бы просто загружайте исправленные файлы и всё, а не целиком дистрибутив.

Ссылка на сообщение
Поделиться на других сайтах

таким образхом у них накапливается куча скытых уязвимостей/багов.

Исправления уязвимостей публикуются в виде патчей всегда, и ни о каких накапливающихся и скрытых речи просто идти не может.

Ошибки исправляются всегда планово, поддержка обеспечивается только стандартного скрипта и стандартного кода, поэтому все ваши сторонние модули и прочие изменения, то это ваши изменения и их поддержка и повторное внесение и прочее это уже ваша забота и никто кроме вас об этом заботится не будет.

Считаете что это я такой нехороший? Так работают все скрипты, а не только DLE.

Ссылка на сообщение
Поделиться на других сайтах

Зачем равняться на всех? Нужно уважительнее и с понимаением относиться к своим клиентам.

Ответ я получил. Тему можно закрыть.

Изменено пользователем ShapeShifter
Ссылка на сообщение
Поделиться на других сайтах

Зачем равняться на всех? Нужно уважительнее и с понимаением относиться к своим клиентам.

А это не относится к категории уважения или не уважения к клиентам. Это физическая невозможность осуществления подобного, в DLE почти 5 мегабайт кода, каждый релиз содержит изменения в тысячи строках, и описать каждое изменение попросту невозможно, поэтому этого никто не делает. Невозможно для каждой строчки сделать описание "вот эту строчку изменили, потому что нужно сделать то то и то то"

Ссылка на сообщение
Поделиться на других сайтах

Вы меня не поняли, я имею ввиду не изменение при обновлениях движка, а об правках багов, когда вы обновляете движок, то отдельно создавалась бы новость со списокм найдены багов в старых версиях и инструкции по закрытию этих багов.

Ссылка на сообщение
Поделиться на других сайтах

ShapeShifter,

Почему я вас понял, только исправления это не одна строчка, о чем я вам и написал, и зачастую для исправления одной небольшой ошибки переписывается десять файлов скрипта.

Ссылка на сообщение
Поделиться на других сайтах

Поясните пожалуйста, ваш багфикс! К какому типу уязвимости относится бага?

Для исправления откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите:

$count_result = 0;

ниже добавьте:

$sql_count = "";

Данный багфикс вызывает ошибку при запросе или sql inj или код создает нагрузку?

  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах

kzpromo,

А что сразу инструкцию по взлому не попросите? Вы же мастер взлома, когда обладаете полной инструкцией.

Ссылка на сообщение
Поделиться на других сайтах

Во первых я вас не оскарблял и не переходил на личности! Во вторых был конкретный вопрос! В третьих за что было блокировать меня здесь? какие пункты правил форума я нарушил?

Ссылка на сообщение
Поделиться на других сайтах

какие пункты правил форума я нарушил?

Прочитайте и увидите.

Во первых я вас не оскарблял и не переходил на личности!

Детский сад, ясельная группа, вы действительно полагаете, что я не знаю вашей личности и сайтов где вы модератор и администратор? На личности он не переходил и не оскорблял. Смешно. Возвращайтесь на свои варезники, где вы уже "возмущаетесь" по поводу бана на этом форуме.

Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.
×
×
  • Создать...