Блокнот для JohnCMS 3.x.x

Alonzo, вроде не опасно... Блокнот доступен только хозяину же...
Поставь фильтр...

hooligan (14.08.2011/21:17)
Alonzo, вроде не опасно... Блокнот доступен только хозяину же...
Поставь фильтр...

Не уметь смогут через блокнот сломать?

Alonzo (14.08.2011/21:18)
Не уметь смогут через блокнот сломать?

ты не знаешь что такое xss?
В google сходи почитай... Всем хозяевам сайтов нужно знать...
XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») — тип уязвимости интерактивных информационных систем в вебе. XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента.

Даже если есть, ничего страшного. Доступ только у автора Блокнота, посторонние лица не смогут просматривать записи. Поэтому, хищение данных невозможно.

а как насчет этих ошибок Полный отчет:/str/notebook.php $name
57: $count1 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `name` = '$name'"), 0); SQL Injection!
/str/notebook.php $text
58: $count2 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `text` = '$text'"), 0); SQL Injection!
/str/notebook.php $name
134: $count1 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `name` = '$name' AND `id` != '$id'"), 0); SQL Injection!
/str/notebook.php $text
135: $count2 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `text` = '$text' AND `id` != '$id'"), 0); SQL Injection!

Сейчас я занят. Пожалуй, вечером, исправлю все ошибки.

svet29 (15.08.2011/05:38)
а как насчет этих ошибок Полный отчет:/str/notebook.php $name
57: $count1 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `name` = '$name'"), 0); SQL Injec

если данные перед добавлением в таблицу фильтруются должным образом, иньекции не может быть...

Все дело в том, что нет проверки переменных "name" и "text" функцией isset().

Янулов (15.08.2011/10:21)
Все дело в том, что нет проверки переменных "name" и "text" функцией isset().

Исправь пожалуйста удобная вещь для хранения инфы на сайте. если не трудно лучше было бы и на четверку чтоб работало

Alonzo (15.08.2011/10:36)
Исправь пожалуйста удобная вещь для хранения инфы на сайте. если не трудно лучше было бы и на четверку чтоб работало

Вечером... Там делов на минуты, только сейчас компа нет под рукой. А для четверки лень делать, ибо скоро выйдут Блоги. А когда они выйдут, Блокнот уже не нужен будет.