О файле
Модуль позволяет администратору и разработчикам повысить безопасность использования входящих данных, а именно закрывает возможность SQL injections через основные дыры во всем форуме сразу.
После установки этого мода Вы сможете смело забить большой болт на все попытки сломать вас через дыры в обработке сл. переменных - 'st', 'id','showforum', 'f', 'forums', 'showtopic', 'tid', 't', 'pid', 'qpid', 'p', 'showuser', 'u', 'user', 'MID', 'img', 'album', 'member_id', 'pass_hash' - это те дыры, что я впомнил в первую очередь. по мере нахождения других "общих" дырок они будут вноситься в этот мод.
Инсталляция:
IPB 2.0.x -> 2.0.x_in_data_rules_install.txt
IPB 2.1.x -> 2.1.x_in_data_rules_install.txt
v 1.0.1
* исправлено определение параметра id (в админке этот параметр может быть не только числовым)
v 1.0.2
* изменен порядок подключения класса. тепь он подключается в проект в одном месте и работает независимо от разных модулей
v 1.0.3
* исправлено определение параметра f (кто бы мог подумать, что Мэт, в качестве Id форума может передавать что либо еще другое))))
* исправленно некорректное определение кук
Благодарности:
Всем, кто находит дыры в IPB и сообщает об этом
зы Этот метод никоим образом не претендует на оригинальность и безглюковость - это всего лишь попытка унифицировать обработку входящих переменных
ззы Автор не несет никакой ответственности за любые дествия, произошедшие по вине этого модуля. Вы используете его на свой страх и риск
Рекомендуемые комментарии
Комментариев для отображения не найдено.
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.