1. Дубль - 1 сентября 2011 — 18:25 - перейти к сообщению
В файлы -thd.php и list.php записываются &, " и т.д. Чем грозит если заменить сущности на знаки?
2. yura3d - 2 сентября 2011 — 11:08 - перейти к сообщению
Дубль пишет:
В файлы -thd.php и list.php записываются &, " и т.д. Чем грозит если заменить сущности на знаки?
![](./im/emoticons/off.gif)
Светлана, почему Вы не используете свой ник? Регистрация дублей на нашем форуме запрещена, этот аккаунт будет удалён
По теме. Замена сущностей на управляющие символы в файлах приведёт к тому, что эти символы будут отображаться в названиях тем, в сообщениях и т.п. Чем это чревато, сами понимаете. Конечно, в работе фильтрации упрсимволов возможна и обратная логика: сохранение оригинала в файлах и преобразование в сущности уже на этапе просмотра, однако этот вариант требует большой аккуратности, т.к. вывод любой случайно неотфильтрованной переменной откроет злоумышленникам доступ к XSS. Я пишу "случайно неотфильтрованной" потому, что в текущей версии ExBB нет шаблонизатора как такового, и контроллировать фильтрацию выводимых переменных Вам придётся в скриптах вручную. Зато в ExBB есть обработчик входящих данных, поэтому в текущем варианте, когда по-умолчанию фильтруются все данные, принимаемые от пользователей, XSS на основне хранящейся в файлах информации практически невозможен
3. Дубль - 2 сентября 2011 — 13:00 - перейти к сообщению
Ответ на офф: потому, что такого пользователя как "Светлана" не существует, а пароль оказался недействителен.
Думается проблемка не у меня одной. Это после "переезда".
Думается проблемка не у меня одной. Это после "переезда".
4. yura3d - 2 сентября 2011 — 13:03 - перейти к сообщению
![](./im/emoticons/off.gif)
Дубль пишет:
Ответ на офф: потому, что такого пользователя как "Светлана" не существует, а пароль оказался недействителен.
Думается проблемка не у меня одной. Это после "переезда".
Думается проблемка не у меня одной. Это после "переезда".
Ок, понял, будем разбираться с этой проблемой.
5. Дубль - 2 сентября 2011 — 13:10 - перейти к сообщению
Тогда другой вопрос: можно ли "пропускать" данные через обработчик и на входе, и на выходе без угрозы для безопасности?
Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках".
В денвере тот же самый форум демонстрячил то же самое. Вручную убирали хтмл из сообщений - всё пришло в норму. Что интересно: дальше форум работал нормально (добавлялись ли хтмл или нет).
Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках".
В денвере тот же самый форум демонстрячил то же самое. Вручную убирали хтмл из сообщений - всё пришло в норму. Что интересно: дальше форум работал нормально (добавлялись ли хтмл или нет).
6. yura3d - 2 сентября 2011 — 13:29 - перейти к сообщению
Дубль пишет:
Тогда другой вопрос: можно ли "пропускать" данные через обработчик и на входе, и на выходе без угрозы для безопасности?
Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках".
В денвере тот же самый форум демонстрячил то же самое. Вручную убирали хтмл из сообщений - всё пришло в норму.
Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках".
В денвере тот же самый форум демонстрячил то же самое. Вручную убирали хтмл из сообщений - всё пришло в норму.
HTML-сущности здесь явно не при делах. Проблема скорее всего в том, что файлы переносились неправильно (в режиме обмена данными, отличном от бинарного). Ранее люди уже обращались с подобными проблемами.
Цитата:
Что интересно: дальше форум работал нормально (добавлялись ли хтмл или нет).
Ну разумеется, в новых файлах, созданных форумом, внутренняя структура не была нарушена, поскольку эти файлы не переносились.
7. BON - 2 сентября 2011 — 15:29 - перейти к сообщению
Дубль пишет:
Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках".
форум желательно сначала запаковать в архив, а затем переносить кудато. Даже когда бэкап делаете то лучше делать так (это лично мое мнение)
8. Светлана - 3 сентября 2011 — 08:13 - перейти к сообщению
BON, это у вас хостер такой. С нормально работающим фтп никаких проблем со скачиванием и заливкой нет.
yura3d, действительно, файлы скачивались в режиме автовыбора.
Но всё же вопрос открыт. Возможно ли заменять хтмл без угрозы для безопасности (на входе и выходе - выше).
yura3d, действительно, файлы скачивались в режиме автовыбора.
Но всё же вопрос открыт. Возможно ли заменять хтмл без угрозы для безопасности (на входе и выходе - выше).
9. BON - 3 сентября 2011 — 09:12 - перейти к сообщению
Светлана пишет:
BON, это у вас хостер такой. С нормально работающим фтп никаких проблем со скачиванием и заливкой нет.
да у меня проблем нет, просто если качать не архивом то долго выкачивается.......вот и всё. И если качать не архивом то большая вероятность что фаилы могут побиться