Быстрый лёгкий надёжный форумный движок
Вы не вошли.
Страницы 1
Тема закрыта
Обнаружена уязвимость в моде Add Topic Title Info to Last Post column on Main Page
Отсутствие конвертирования хтмл-сущностей может повлечь массовую кражу cookie, с последующим получением злоумышленником доступа вплоть до админ-центра.
Всем установившим этот мод необходимо обязательно сделать следующее:
1. открыть index.php
2. найти строку:
$last_post = '<a href="viewtopic.php?pid='.$cur_forum['last_post_id'].'#p'.$cur_forum['last_post_id'].'">'.$cur_forum['subject'].'</a> <span class="byuser">'.format_time($cur_forum['last_post']).' - '.$lang_common['by'].' '.pun_htmlspecialchars($cur_forum['last_poster']).'</span>';
3. в этой строке заменить:
$cur_forum['subject']
на это:
pun_htmlspecialchars($cur_forum['subject'])
hcs
Можно сделать тут пошагово сразу исправленную версию полностью. Чтобы не искать хвосты.
Типа ищем строку XXX и меняем это на то-то.
Сейчас посмотрел вроде делал все верно, но что то не сходится.
А чем инструкция не пошаговая? Мод изменяет одну строку в index.php, а именно добавляет вывод названия темы, вместо времени темы. Нужно название темы конвертировать перед выдачей.
а я уж было испугался! - давно всё поправлено.
инструкция нормальная, torg ты что???
niikto
Имею ввиду чтобы было так. С ошибкой мод чтобы был полностью исправлен. Его исправили?
Думаю не удобно ставить мод с ошибкой, а потом искать строку и исправлять. Мне попалось два раза строка. Может что не так сделал. Было бы лучше чтобы указывалось номер строки. То есть чтобы сделать за один проход.
torg
Я оставил в теме этого мода на punres.org сообщение, так что это теперь забота автора. строка:
$last_post = '<a href="viewtopic.php?pid='.$cur_forum['last_post_id'].'#p'.$cur_forum['last_post_id'].'">'.$cur_forum['subject'].'</a> <span class="byuser">'.format_time($cur_forum['last_post']).' - '.$lang_common['by'].' '.pun_htmlspecialchars($cur_forum['last_poster']).'</span>';
тебе попалась два раза?
номер строки разный - если у тебя иные моды чем у меня.
Если хочешь чтобы исправили оригинальный мод - напиши его куратору на панресе
hcs
Вроде два раза что-то попадалось.
Просто уточните в каких строках искать и что заменять.
Обычно моды деются на не измененных файлах.
К примеру моды на invision читал всегда какую строку и где заменять. Полностью.
niikto
Моды не ставил больше. Все стандартно, то есть.
Попробую снова потом. Сделаю как с punres потом поищу строку нужную.
На моем форуме вроде работает. Запросы при выводе тем на главгную уменьшились до 9-ти.
Вроде два раза что-то попадалось.
Просто уточните в каких строках искать и что заменять.
Обычно моды деются на не измененных файлах.
К примеру моды на invision читал всегда какую строку и где заменять. Полностью.
Дык в первом посте топика и написано, что на что.
Плевать как делаются моды, тут даже в оригинальныф файлах могут быть серьёзные различия в зависимости от версий.
Пользуйте поиск в вашем текстовом редакторе, а если уж очень туго, то прогу WinMerge.
юзай акельпад: http://fouroom.ru/viewtopic.php?id=71
Добавлено спустя 34 секунды:
обана, а куда делось сообщение torg ?
У меня в новом punbb 1.2.15 в index.php в 111 строке значит.
Обнаружена уязвимость в моде Add Topic Title Info to Last Post column on Main Page
А это было исправлено в вашей сборке 1.2.15?
кто-нибудь может прокомментировать то, что творится на форуме banex.kz (раздел "О форуме" ), прямую ссылку не могу дать.
кто-нибудь может прокомментировать то, что творится на форуме banex.kz (раздел "О форуме" ), прямую ссылку не могу дать.
Капчу надо ставить и проверять валидность емейла. Хотя к топику это вроде вообще не относится.
Страницы 1
Тема закрыта