Сайт проекта ExBB

Общение объединяет!

Войдите на форум при помощи

Войти через loginza

Чат на форуме

Помощь

Поиск

Пользователи

BanList

BanList

Здравствуйте Гость ( Вход · Регистрация · Правила форума )

Забыли пароль?

сущности хтмл

ExBB Community » Файловый ExBB » Общие вопросы

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

Дубль	Отправлено: 1 сентября 2011 — 18:25
Newbie Покинул форум Сообщений всего: 3 Дата рег-ции: Авг. 2011 Репутация: 0	В файлы -thd.php и list.php записываются &, " и т.д. Чем грозит если заменить сущности на знаки?

ExBB FAQ ExBB 1.1 тестовая версия ExBB 2.0.*

yura3d	Отправлено: 2 сентября 2011 — 11:08
ExBB Team ExBB Developer ExBB Mods Author Покинул форум Сообщений всего: 3394 Дата рег-ции: Февр. 2009 Откуда: Минск, Беларусь Репутация: 353	Дубль пишет: В файлы -thd.php и list.php записываются &, " и т.д. Чем грозит если заменить сущности на знаки? Светлана, почему Вы не используете свой ник? Регистрация дублей на нашем форуме запрещена, этот аккаунт будет удалён По теме. Замена сущностей на управляющие символы в файлах приведёт к тому, что эти символы будут отображаться в названиях тем, в сообщениях и т.п. Чем это чревато, сами понимаете. Конечно, в работе фильтрации упрсимволов возможна и обратная логика: сохранение оригинала в файлах и преобразование в сущности уже на этапе просмотра, однако этот вариант требует большой аккуратности, т.к. вывод любой случайно неотфильтрованной переменной откроет злоумышленникам доступ к XSS. Я пишу "случайно неотфильтрованной" потому, что в текущей версии ExBB нет шаблонизатора как такового, и контроллировать фильтрацию выводимых переменных Вам придётся в скриптах вручную. Зато в ExBB есть обработчик входящих данных, поэтому в текущем варианте, когда по-умолчанию фильтруются все данные, принимаемые от пользователей, XSS на основне хранящейся в файлах информации практически невозможен

Дубль	Отправлено: 2 сентября 2011 — 13:00
Newbie Покинул форум Сообщений всего: 3 Дата рег-ции: Авг. 2011 Репутация: 0	Ответ на офф: потому, что такого пользователя как "Светлана" не существует, а пароль оказался недействителен. Думается проблемка не у меня одной. Это после "переезда". (Отредактировано автором: 2 сентября 2011 — 13:02)

yura3d	Отправлено: 2 сентября 2011 — 13:03
ExBB Team ExBB Developer ExBB Mods Author Покинул форум Сообщений всего: 3394 Дата рег-ции: Февр. 2009 Откуда: Минск, Беларусь Репутация: 353	Дубль пишет: Ответ на офф: потому, что такого пользователя как "Светлана" не существует, а пароль оказался недействителен. Думается проблемка не у меня одной. Это после "переезда". Ок, понял, будем разбираться с этой проблемой.

Дубль	Отправлено: 2 сентября 2011 — 13:10
Newbie Покинул форум Сообщений всего: 3 Дата рег-ции: Авг. 2011 Репутация: 0	Тогда другой вопрос: можно ли "пропускать" данные через обработчик и на входе, и на выходе без угрозы для безопасности? Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках". В денвере тот же самый форум демонстрячил то же самое. Вручную убирали хтмл из сообщений - всё пришло в норму. Что интересно: дальше форум работал нормально (добавлялись ли хтмл или нет). (Отредактировано автором: 2 сентября 2011 — 13:13)

yura3d	Отправлено: 2 сентября 2011 — 13:29
ExBB Team ExBB Developer ExBB Mods Author Покинул форум Сообщений всего: 3394 Дата рег-ции: Февр. 2009 Откуда: Минск, Беларусь Репутация: 353	Дубль пишет: Тогда другой вопрос: можно ли "пропускать" данные через обработчик и на входе, и на выходе без угрозы для безопасности? Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках". В денвере тот же самый форум демонстрячил то же самое. Вручную убирали хтмл из сообщений - всё пришло в норму. HTML-сущности здесь явно не при делах. Проблема скорее всего в том, что файлы переносились неправильно (в режиме обмена данными, отличном от *бинарного). Ранее люди уже обращались с подобными проблемами. Цитата:* Что интересно: дальше форум работал нормально (добавлялись ли хтмл или нет). Ну разумеется, в новых файлах, созданных форумом, внутренняя структура не была нарушена, поскольку эти файлы не переносились.

BON	Отправлено: 2 сентября 2011 — 15:29
ExBB Team Admin Покинул форум Сообщений всего: 2762 Дата рег-ции: Нояб. 2010 Откуда: СССР/Белгород Репутация: 72	Дубль пишет: Почему спрашиваю: на одном из хостингов при обычном переносе файлов форум напрочь отказался открывать темы и форумы, а пользователи, у которых в личках были сообщения с кавычками, например, все в "ошибках". форум желательно сначала запаковать в архив, а затем переносить кудато. Даже когда бэкап делаете то лучше делать так (это лично мое мнение)

Светлана	Отправлено: 3 сентября 2011 — 08:13
Забанен Покинул форум Сообщений всего: 240 Дата рег-ции: Июнь 2009 Репутация: 8 [+]	BON, это у вас хостер такой. С нормально работающим фтп никаких проблем со скачиванием и заливкой нет. yura3d, действительно, файлы скачивались в режиме автовыбора. Но всё же вопрос открыт. Возможно ли заменять хтмл без угрозы для безопасности (на входе и выходе - выше).

BON	Отправлено: 3 сентября 2011 — 09:12
ExBB Team Admin Покинул форум Сообщений всего: 2762 Дата рег-ции: Нояб. 2010 Откуда: СССР/Белгород Репутация: 72	Светлана пишет: BON, это у вас хостер такой. С нормально работающим фтп никаких проблем со скачиванием и заливкой нет. да у меня проблем нет, просто если качать не архивом то долго выкачивается.......вот и всё. И если качать не архивом то большая вероятность что фаилы могут побиться

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)

« Общие вопросы »

Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0855] [ ]