Вот подробней
.gif)
- перед записью сообщения в базу идет проверка адреса в теге, и если адрес удовлетворяет требованиям то уже происходит проверка является ли адрес изображением! Разрешены символы в адресе - _ % ~ . / + и все, никаких других писать нельзя
, ну в смысле скрипт не пустит. Если вздумается писать спец.символы в url формате, то предупреждаю символы ' " & ( ) : < > вырезаются. Ну вроде пока все. Код тестировал, явного xss не получилось.
SunRise (28.01.2010/11:52)
Вот подробней - перед записью сообщения в базу идет проверка адреса в теге, и если адрес удовлетворяет требованиям то уже происходит проверка является ли адрес изображением! Разрешены символы в адре
если думать логически, то если есть знаки <> и подобные, то просто не обрабатывать изображение и не выводить его. ибо такие символы не могут быть не в имени файла, ни в название папки.
FlySelf, Символ > и < само собой не разрешены, а их url аналоги да, так как разрешены цифры и знак %, вот аналоги и вырезаются.
А в новом архиве только обновления или все сразу?
В архиве только обновление. Файл func.php.
Dimario (28.01.2010/15:38)
у мну непашет!
Руки кривые.
Сайт в анкете, смотри гостевую.
Скрипт рабочий! Дабы убедиться вот пример
http://xsclub.ru/forum/index.p ... age=1 .
Позже выложу несколько версий скрипта (это для тех у кого эта версия отказалась работать).
Почитал , вот такой вопрос , установил эти бб коды . У меня стоят подарки и там когда даришь их отправляется письмо в приват . И там ссылка идет на показ подарка . Теперь по этой ссылке выдает /ол.пхп=номер сессии . можно как то изменить ссылку в подарках так чтоб ошибки не было
