#36541 Macik:
При формировании форм с методом отправки «Post» движок добавдяет «anti_xss» параметр «x». Вопрос зачем поле input обернуто в «div»?
return '<div style="display:inline;margin:0;padding:0"><input type="hidden" name="x" value="'.$sys['xk'].'" /></div>';
Кажысь это сделано для так называемой обфускации ... могу путать но вроде так
Добавлено 10 месяца спустя:
Смотрю в код и не понимаю... и не понимаю, что именно я не понимаю… :) Объяните, что это за атавизм?
/**
* Checks POST anti-XSS parameter
*
* @return bool
*/
function cot_check_xp()
{
return (defined('COT_NO_ANTIXSS') || defined('COT_AUTH')) ?
($_SERVER['REQUEST_METHOD'] == 'POST') : isset($_POST['x']);
}
Я конечно предполагаю, что подразумевается проверка «подлинности» формы. Но где здесь проверка на корректность самого «X».
И более того мне не понятно что оно делает в такеом виде в page.admin.php
cot_check_xp();
Точно не отвечу но проверка сама по себе происходит тут а в вышеуказанной функции видать уже идет проверка результата проверки в common.php
