MaulNet Опубликовано 4 Марта 2006 Жалоба Поделиться Опубликовано 4 Марта 2006 Новость ."Обновление безопасности в IPB 2.x.x". Делом в том, что данной строки нету (см. ниже), возможно ли это? # XSS Clean $txt = preg_replace( "#javascript\:#is", "java script:", $txt ); $txt = str_replace( "`" , "`" , $txt ); Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 sM1Le Опубликовано 5 Марта 2006 Жалоба Поделиться Опубликовано 5 Марта 2006 Новость ."Обновление безопасности в IPB 2.x.x". Делом в том, что данной строки нету (см. ниже), возможно ли это? # XSS Clean $txt = preg_replace( "#javascript\:#is", "java script:", $txt ); $txt = str_replace( "`" , "`" , $txt );Да, на версиях ниже 2.1.4 (2.1.3 — точно уже не помню) такого, вроде, не наблюдатся.Исправляется следующим образом:Найти в ./sources/lib/post_parser.php (строки в районе 518): function post_db_parse_bbcode($t="") { global $ibforums, $DB, $std; if ( is_array( $ibforums->cache['bbcode'] ) and count( $ibforums->cache['bbcode'] ) ) {Добвить после: # XSS Clean $txt = preg_replace( "#javascript\:#is", "java script:", $txt ); $txt = preg_replace( "#vbscript\:#is", "vb script:", $txt ); $txt = str_replace( "`" , "& #96;" , $txt ); $txt = preg_replace( "#moz\-binding:#is", "moz binding:", $txt );Сохранить, загрузить на сервер.P.S.: Между & #96; пробел не нужен. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
MaulNet
Новость ."Обновление безопасности в IPB 2.x.x".
Делом в том, что данной строки нету (см. ниже), возможно ли это?
# XSS Clean
$txt = preg_replace( "#javascript\:#is", "java script:", $txt );
$txt = str_replace( "`" , "`" , $txt );
Ссылка на комментарий
Поделиться на других сайтах
1 ответ на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.