ExBB Community » Файловый ExBB » Общие вопросы » сущности хтмл

Страниц (1): [1]
 

1. Дубль - 1 сентября 2011 — 18:25 - перейти к сообщению
В файлы -thd.php и list.php записываются &, " и т.д. Чем грозит если заменить сущности на знаки?
2. yura3d - 2 сентября 2011 — 11:08 - перейти к сообщению
Дубль пишет:
В файлы -thd.php и list.php записываются &, " и т.д. Чем грозит если заменить сущности на знаки?

Светлана, почему Вы не используете свой ник? Регистрация дублей на нашем форуме запрещена, этот аккаунт будет удалён

По теме. Замена сущностей на управляющие символы в файлах приведёт к тому, что эти символы будут отображаться в названиях тем, в сообщениях и т.п. Чем это чревато, сами понимаете. Конечно, в работе фильтрации упрсимволов возможна и обратная логика: сохранение оригинала в файлах и преобразование в сущности уже на этапе просмотра, однако этот вариант требует большой аккуратности, т.к. вывод любой случайно неотфильтрованной переменной откроет злоумышленникам доступ к XSS. Я пишу "случайно неотфильтрованной" потому, что в текущей версии ExBB нет шаблонизатора как такового, и контроллировать фильтрацию выводимых переменных Вам придётся в скриптах вручную. Зато в ExBB есть обработчик входящих данных, поэтому в текущем варианте, когда по-умолчанию фильтруются все данные, принимаемые от пользователей, XSS на основне хранящейся в файлах информации практически невозможен
3. Дубль - 2 сентября 2011 — 13:00 - перейти к сообщению
Ответ на офф: потому, что такого пользователя как "Светлана" не существует, а пароль оказался недействителен.
Думается проблемка не у меня одной. Это после "переезда".
4. yura3d - 2 сентября 2011 — 13:03 - перейти к сообщению

Дубль пишет:
Ответ на офф: потому, что такого пользователя как "Светлана" не существует, а пароль оказался недействителен.
Думается проблемка не у меня одной. Это после "переезда".

Ок, понял, будем разбираться с этой проблемой.
5. Дубль - 2 сентября 2011 — 13:10 - перейти к сообщению
Тогда другой вопрос: можно ли "пропускать" данные через обработчик и на входе, и на выходе без угрозы для безопасности?
Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках".
В денвере тот же самый форум демонстрячил то же самое. Вручную убирали хтмл из сообщений - всё пришло в норму. Что интересно: дальше форум работал нормально (добавлялись ли хтмл или нет).
6. yura3d - 2 сентября 2011 — 13:29 - перейти к сообщению
Дубль пишет:
Тогда другой вопрос: можно ли "пропускать" данные через обработчик и на входе, и на выходе без угрозы для безопасности?
Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках".
В денвере тот же самый форум демонстрячил то же самое. Вручную убирали хтмл из сообщений - всё пришло в норму.

HTML-сущности здесь явно не при делах. Проблема скорее всего в том, что файлы переносились неправильно (в режиме обмена данными, отличном от бинарного). Ранее люди уже обращались с подобными проблемами.

Цитата:
Что интересно: дальше форум работал нормально (добавлялись ли хтмл или нет).

Ну разумеется, в новых файлах, созданных форумом, внутренняя структура не была нарушена, поскольку эти файлы не переносились.
7. BON - 2 сентября 2011 — 15:29 - перейти к сообщению
Дубль пишет:
Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках".

форум желательно сначала запаковать в архив, а затем переносить кудато. Даже когда бэкап делаете то лучше делать так (это лично мое мнение)
8. Светлана - 3 сентября 2011 — 08:13 - перейти к сообщению
BON, это у вас хостер такой. С нормально работающим фтп никаких проблем со скачиванием и заливкой нет.
yura3d, действительно, файлы скачивались в режиме автовыбора.
Но всё же вопрос открыт. Возможно ли заменять хтмл без угрозы для безопасности (на входе и выходе - выше).
9. BON - 3 сентября 2011 — 09:12 - перейти к сообщению
Светлана пишет:
BON, это у вас хостер такой. С нормально работающим фтп никаких проблем со скачиванием и заливкой нет.

да у меня проблем нет, просто если качать не архивом то долго выкачивается.......вот и всё. И если качать не архивом то большая вероятность что фаилы могут побиться

Яндекс.Метрика   

Powered by ExBB
[Script Execution time: 0.0202]     [ ]