Перейти к контенту
  • 0

html в дополнительных полях разве разрешен?


TOIIOP

Вопрос

Рекомендуемые сообщения

  • 0
html в дополнительных полях разве разрешен? Каким-то образом пользователь выставил вместо текста картинку туда...

Помоему по дефолту нет, юзай настройки юзеров.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Посмотреть профайл того кто выставил через менеджмент есть возможность?

 

Если имеет доступ к АЦП, вполне возможно, что просто методом проверки id пользователя и подстановки кода в соответствующий шаблон данных. Если нет - самому интересно. Наглядно можно лицезреть сие чудо? :D

Изменено пользователем _VIPER_
Ссылка на комментарий
Поделиться на других сайтах

  • 0
Посмотреть профайл того кто выставил через менеджмент есть возможность?

Не совсем понял о чем речь..

 

Если имеет доступ к АЦП, вполне возможно, что просто методом проверки id пользователя и подстановки кода в соответствующий шаблон данных. Если нет - самому интересно. Наглядно можно лицезреть сие чудо? :D

 

К АЦП не имеет, к базам тоже, т.к. давно бы поломал там, а не правил свой профиль.. хз..

 

Код дополнительного поля такой:

<if="author['field_2'] != """>
<a href={$author['field_2']} target="_blank" title="Откроется в новом окне">Мое досье</a>
</if>

 

Вот сам юзер: Посмотреть

 

Дополнительное поле: Досье

При просмотре темы, там картинка, а при просмотре профиля, обрывок кода...

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Вообщем понял я в чем фишка...

Когда вставляют в поле код:

></a><iframe src=http://www.narod.ru/2.html width=1 height=1></iframe><body onload=

то закрываются как-то теги и почему то фрейм срабатывает...

Как сделать чтобы просто показывался текст при просмотре просмотре темы? При просмотре профиля, код не обрабатывается же...

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Можно добавить функцию htmlspecialchars к обработке дополнительных полей профиля в topics.php. После неё всё будет отображаться корректно, но теги обрабатываться не будут.

 

Подробнее читать здесь:

 

http://www.softtime.ru/bookphp/gl3_2.php

 

Вообще, довольно странно, что это изначально не делается.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Я слышал много нареканий про 6-ку.

На 2.1.7 никак что ли было не проапгрейдиться?

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Никак, т.к. в свое время было установлено много модов и с выходом 2.1.7 все переносить не очень то и хотелось... К тому же, были установлены все заплатки для 2.1.х. (хотя наверно не все, раз такая фигня с полями)

 

Как это исправить?

Ссылка на комментарий
Поделиться на других сайтах

  • 0
К тому же, были установлены все заплатки для 2.1.х.

А где ты их все взял?

Ты думаешь что здесь это все?

Это только те что универсальны ко всем версиям, т.е. те, которые нашли. Те, что были в каких-то подбиладах даже никто и не знал никогда, т.к. эти подбилды были в использовании довольно немногочисленное время.

 

Как это исправить?

Не знаю.

Видимо брать кусок твоего форума и сравнивать с аналогичным куском 2.1.7

Ссылка на комментарий
Поделиться на других сайтах

  • 0

В /sources/classes/class_custom_fields.php нашел функцию:

 

	/*-------------------------------------------------------------------------*/
// Make safe for other viewing (profile, etc)
/*-------------------------------------------------------------------------*/

function method_make_safe_for_view( $t )
{
	if ( $this->kill_html )
	{
		$t = htmlspecialchars( $t );
		$t = preg_replace("/&#([0-9]+);/s", "\\1;", $t );
	}

	return $t;
}

 

По идее, именно она и отвечает за то, чтобы не было такой ерунды.

 

На крайний случай можно попробовать в функцию:

 

	function method_format_content_for_save( $c )
{
	$c = str_replace( "\r"   , "\n", $c );
	$c = str_replace( "'", "'" , $c );
	return str_replace( "\n", '|', str_replace( "\n\n", "\n", trim($c) ) );
}

 

Добавить строку:

 

$c = htmlspecialchars($c);

 

В этом случае конвертировать оно будет уже при попытке сохранить информацию в дополнительное поле профиля. Делать на свой страх и риск.

 

+++

 

P.S. Мм, а посмотри, не разрешен ли html группе пользователей. Возможно, проблема в этом, и у тебя условие ( $this->kill_html ) возвращает false.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

WildRAID,

Что-то не получается... Всеравно проходит код.

 

P.S. Мм, а посмотри, не разрешен ли html группе пользователей. Возможно, проблема в этом, и у тебя условие ( $this->kill_html ) возвращает false.

Точно не разрешен.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Все это очень странно. Лично я бы поискал\купил нормальный релиз IPB, потому как с этим что-то неладное творится.

 

Ну не может быть такого, чтобы в доп. полях профиля не делался htmlspecialchars по умолчанию. Может там еще и яваскрипт вставить можно?

 

Видел в некоторых местах информацию о том, что существуют варезные релизы, которые специально "протрояненны" разными уязвимостями и шеллами. Кто знает, может это оно и есть...

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Да нет.. дело не в лицензионной верси.. просто там теги закрывают, и потом вставляют свой код... и он почему -то срабатывает... может быть я неправилньо сделал это дополнительное поле?
Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.