Модуль Geshi

alafin · 2006-11-15 15:47:09

Подскажите плиз, срочно нужно подправить модуль geshi чтобы он не работал при простом теге [_code] и [_/code], а только если передан аргумент.

hcs · 2006-11-15 16:08:02

попробуй в парсере
$tmp2 = strpos(substr($text, $c_start+6), '[сode]');

заменить на

$tmp2 = false;

alafin · 2006-11-15 16:28:22

Все равно он интерпретирует html код и javascript. А это значит можно взломать форум((. Что делать нужна срочно помощь!

hcs · 2006-11-15 16:42:14

Для начала отключить мод.
Если все так серъезно, то надо написать разработчику. http://www.punres.org/viewtopic.php?id=1439
Этот мод?

Добавлено Wed Nov 15 19:46:11 2006 :
каким это способом у тебя выплняется скрипт внутри тэга? У меня стоит локально Multi Syntax Highlight, ипользуется Geshi, и ничего подобного я сделать не могу

Slavik · 2006-11-15 16:57:23

Хм, прикольно, помню на одном форуме многие повеселились Но админ быстро закрыл дыру и сказал что отсубмитил багу разработчику. Там, насколько я помню, если не указан язык, то можно написать что-то вроде этого: <script>Alert("Coolhatsking attempt")</script>

alafin · 2006-11-15 18:59:19

да, вот такие проблемы((((

hcs · 2006-11-15 19:03:19

Я пишу это, не указывая язык и никакого алерта не появляется.

artoodetoo · 2006-11-16 11:51:48

alafin пишет:

Все равно он интерпретирует html код и javascript. А это значит можно взломать форум((. Что делать нужна срочно помощь!

не понял! если он его интерпретирует, значит html код будет выдаваться отэскейпленный и с подсвеченным синтаксисом. вот если бы он НЕ интерпретировался - тогда действительно плохо. поясни, пожалуйста, что ты имел в виду на самом деле.

alafin · 2006-11-16 18:56:22

Вообщем, при вставке кода в тег code(без параметров) html со вставками javascript(опасно!) весь код интерпретируется. А если передать параметр, к примеру, html, то код не интерпретируется а просто выдается подсвеченным.

artoodetoo · 2006-11-17 13:28:51

попробовал geshi в составе сборки готовой сборки punbb pack - действительно дыра присутствует!

<b>strong</b>
йцукенг <script>document.write('сцуко');</script>

выглядит у меня как

strong
йцукенг сцуко

на этом форуме, как видно, все нормально. версия multisyntax другая?

Редактировался artoodetoo (2006-11-17 13:30:55)

hcs · 2006-11-17 13:33:09

Здесь пока нет geshi

Русское сообщество fluxbb

Объявление

#1 2006-11-15 15:47:09

Модуль Geshi

#2 2006-11-15 16:08:02

Re: Модуль Geshi

#3 2006-11-15 16:28:22

Re: Модуль Geshi

#4 2006-11-15 16:42:14

Re: Модуль Geshi

#5 2006-11-15 16:57:23

Re: Модуль Geshi

#6 2006-11-15 18:59:19

Re: Модуль Geshi

#7 2006-11-15 19:03:19

Re: Модуль Geshi

#8 2006-11-16 11:51:48

Re: Модуль Geshi

#9 2006-11-16 18:56:22

Re: Модуль Geshi

#10 2006-11-17 13:28:51

Re: Модуль Geshi

#11 2006-11-17 13:33:09

Re: Модуль Geshi

Подвал доски