Forums / National / Russian / Cotonti 0.9.24 Beta

Если в плагине изменить настройку (в моем случае Auth_guests), то для ее вступления (раньше?) надо было просто обновить плагин. Сейчас надо удалить и установить заново. Свежий срез.

#47657 Kort:

Если в плагине изменить настройку (в моем случае Auth_guests), то для ее вступления (раньше?) надо было просто обновить плагин. Сейчас надо удалить и установить заново. Свежий срез.

Не помню, чтобы я трогал эту часть. В настройках плагина указываются права по-умолчанию, которые выставляются при установке. Такое поведение логично. Если на сайте десяток групп пользователей, для которых настроены права, то после обновления плагина права доступа не должны сбрасываться в значения по-умолчанию и требоваться перенастройка прав. Единственый кейс это когда какое-то из прав меняются на противоположное и оно становится locked. Но обработка этого кейса потребует серьезных правок.

Если все же необходимо сменить права при обновлении, можно в патч добавить соотвествующие запросы к БД.

Проблема есть и воспроизводится на нескольких сайтах

А на актульной версии из мастер ветки?

На строке 86 https://skr.sh/sNRhNbRIHfG сейчас код if (empty($d)) {, а empty() можно передать все что угодно. Хоть false, null, хоть несуществующую переменную.

Как бы там ни было, сейчас займусь https://github.com/Cotonti/Cotonti/issues/1757 и все еще раз перепроверю.

Оптимизация тегов: https://github.com/Cotonti/Cotonti/commit/2463c344043703f5f364638b149330e04948f556#diff-36774188803f4756469541d8134ff0b16156b6da4ddcf393475cbf9b622f3067R32

Теги сортировки вида USERS_TOP_XXX заменены на более понятные USERS_SORT_XXX. Я обычно стараюсь сохранить старые версии тегов, но тут это казалось немного проблематично. После выпуска 0.9.24 опишем все изменения в тегах, чтобы было понятно и наглядно как темы обновить.

Поскольку описание - это простой текст, то к нему не прменяется HtmlPurifier и при выводе оно заворачивается в htmlspecialchars().

Ограничение - элементарная безопасность.

А если кто то из пользователей добавит туда что то вроде:

<script>sendYourCookiesToMe()</script>

И если нужно использовать HTML в описании, ничего не мешает добавить HTML экстраполе и использовать его для описания.

С названием какой темы? На форуме? Если она позволяет сделать, то это ошибка.

То что попадает в браузер - трактуется не как простой текст, а HTML со скриптами и стилями. И позволить пользователям бесконтрольно добавлять нефильтруемый контент - дыра в безопасности.

Браузер даже и не знает что конкретно сгенерировало тот или иной участок HTML-кода. Он просто получает готовую страницу с кодом разметки, скриптами и стилями и выполняет все, что там есть. Как и что обрабатывать решает движок. Задача недопустить внедрения на страницу нежелательного кода и недопущения в т.ч. XSS-атак - задача движка.  Поля в которых допусимо хранить HTML и потом выводить его "как есть" перед сохранением обрабатываются HtmlPurifier'ом, который из HTML убирает все лишнее. Тут у обычных пользователей может быть более строгий фильтр, у админов более мягкий. Все остальны текстовые поля, сохраняются "как есть" но при выводе обрабатываются функцией htmlspecialchars(), которая превращает HTML-верску и скрипты в обычный текст заменяя специальные символы HTML-сущностями. Это не дает сломать верстку, вставив туда "левый" HTML код и не даст выполнить "левые" скрипты.

По этому, если куда то надо вставить именно HTML код - надо использовать поле которое работает с HTML.

В админке, например, правила таких проверок менее строгие, т.к. обычным пользователям туда доступа нет, и там отвественность админа.

Названия страниц и тем на форуме еще раз перепроверю, как только закончу с этим. Но там не должно быть проблем, т.к. их заметили бы давно.

#47709 Kabak:

Добавлено 17 часов спустя:

На форумах заменяется символ '<' и название темы и описание на последовательность &lt;

какой функцией нужно обработать такую последовательность, чтобы на странице отобразился симво '<' , а не &lt; ?

htmlspecialchars_decode()