| psyvek |
|
|---|---|
|
Добавляю доп. поле textarea в users а там оказывается нет проверки кода, можно что угодно писать: хоть html, хоть
<script type="text/javascript">location.replace("http://www.cotonti.com");</script> срабатывает :)Это так задумано было или чего-то где-то упустили? По-моему, это потенциально опасно. UPD: тоже самое наблюдается в list и page и видимо тип добавляемого поля значения не имеет при input та же картина. Это настораживает. И еще вопрос. Если добавляешь дополнительное поле, то как сделать чтобы в list сортировалось по нему? В админке, где сортировка выбирается этого добавленного поля нет. Я извиняюсь, если это не актуально и где то обсуждалось или есть элементарное решение, которое я не нашел. Каюсь, не силен в английском и прочитать весь форум со словарем не реально. Я выбрал Кот только из-за безгеморного добавления extra полей, а сейчас получается что добавлять их небезопасно. Подтверждение страниц тут туже ничего не меняет, так как extra поля есть в профиле, а его не утверждаешь. И при утверждении страниц просматриваешь сначала готовый текст, а значит куки могут уплыть. Менять пароль после каждого входа не хочется. Тыкните мне, если я чего-то не правильно понял или как парсить код в extra полях. |
|
| This post was edited by psyvek (2009-04-14 02:33, 15 years ago) |
