Форумы / National / Russian / Тех. поддержка / Не давать возможность сортировать записи по ЛЮБЫМ полям

Kopusha
#1 18.12.2024 18:19

Я бы добавил перед

https://github.com/Cotonti/Cotonti/blob/master/plugins/search/search.php#L375C1-L377C4 (ну и тут же для форумов что не так критично)

такие строки

		$pagsort_sort_whitelist = array('date', 'title', 'count', 'cat');
		if (!in_array(mb_strtolower($rs['pagsort']), $pagsort_sort_whitelist))
		{
			cot_die_message(404, TRUE);
		}	

Лучше не давать возможность сортировать записи по ЛЮБЫМ полям, там могут быть скрытые через TPL корявенькими ручками поля телефонов или иная конфединциальная инфо, понасоздают смузхлёбы экстраполя, скроют их через <!-- IF  {PHP.usr.profile.user_maingrp} == 5 --> или еще каким то костылем и потом имеют удивленные лица.

Added 7 hours later:

Ну и по мелочи

$rs['pagsort2']  = ($rs['pagsort2'] === 'asc')  ? 'ASC' : 'DESC';
по умолчанию сортировка по дате публикации
почему в поиске верхние тогда самые старые а не самые новые записи?

Отредактировано: Kopusha (19.12.2024 01:37, 1 месяц назад)
Alex300
#2 02.01.2025 19:43

Пока сделал тикет: https://github.com/Cotonti/Cotonti/issues/1823

Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english...
Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/