Тестирование и баги
Kort |
|
---|---|
Если в плагине изменить настройку (в моем случае Auth_guests), то для ее вступления (раньше?) надо было просто обновить плагин. Сейчас надо удалить и установить заново. Свежий срез. SED.by - создание сайтов, разработка плагинов и тем для Котонти
|
Kabak |
|
---|---|
#47655 Alex300: Это всё после игры с параметрами поиска - фильтрами и потом нажатий на стрелочки ASC / DESC. Я уже писал о похожей проблеме с Ricent Items ( когда играешься с фильтрами, после какой-то последовательности начинаются варнинги ) Проблема есть и воспроизводится на нескольких сайтах 2) нажать отправить 3) очистить поле поиска по имени 4) нажать отправить 5) нажать на любую стрелку фильтрации ASC / DESC. |
|
Bu konu Kabak tarafından düzenlendi(2023-12-24 17:17, 9 aylar önce) |
Alex300 |
|
---|---|
#47657 Kort: Не помню, чтобы я трогал эту часть. В настройках плагина указываются права по-умолчанию, которые выставляются при установке. Такое поведение логично. Если на сайте десяток групп пользователей, для которых настроены права, то после обновления плагина права доступа не должны сбрасываться в значения по-умолчанию и требоваться перенастройка прав. Единственый кейс это когда какое-то из прав меняются на противоположное и оно становится locked. Но обработка этого кейса потребует серьезных правок. Если все же необходимо сменить права при обновлении, можно в патч добавить соотвествующие запросы к БД.
А на актульной версии из мастер ветки? На строке 86 https://skr.sh/sNRhNbRIHfG сейчас код if (empty($d)) {, а empty() можно передать все что угодно. Хоть false, null, хоть несуществующую переменную. Как бы там ни было, сейчас займусь https://github.com/Cotonti/Cotonti/issues/1757 и все еще раз перепроверю. Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english... Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/ |
|
Bu konu Alex300 tarafından düzenlendi(2023-12-25 06:20, 9 aylar önce) |
Kabak |
|
---|---|
На свежем срезе просто отсутствуют стрелки для сортировки по ASC / DESC |
Alex300 |
|
---|---|
Оптимизация тегов: https://github.com/Cotonti/Cotonti/commit/2463c344043703f5f364638b149330e04948f556#diff-36774188803f4756469541d8134ff0b16156b6da4ddcf393475cbf9b622f3067R32 Теги сортировки вида USERS_SORT_XXX. Я обычно стараюсь сохранить старые версии тегов, но тут это казалось немного проблематично. После выпуска 0.9.24 опишем все изменения в тегах, чтобы было понятно и наглядно как темы обновить. Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english... Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/ |
|
Bu konu Alex300 tarafından düzenlendi(2023-12-26 10:02, 9 aylar önce) |
Kabak |
|
---|---|
Варнинг ушёл
Я предлагаю сделать отдельную ветку на форуме или статью, где будут перечислены все старые теги от версии 0.9.21 или 0.9.23 и их аналоги из версии 0.9.24 потому что некоторые имена кроме USERS_SORT_ имеют другой хвост. Добавлено 23 часа спустя: Кстати, с Ricent Items точно такая же проблема при игре с фильтрами за какой период выводить статьи. Добавлено 9 минут спустя: #47014 Kabak:
Добавлено 2 недели спустя: если в описании страницы указать <hr> , то первый символ '<' заменяется на < По-моему так быть не должно или это особенность движка ? |
|
Bu konu Kabak tarafından düzenlendi(2024-01-15 09:42, 8 aylar önce) |
Alex300 |
|
---|---|
Поскольку описание - это простой текст, то к нему не прменяется HtmlPurifier и при выводе оно заворачивается в htmlspecialchars(). Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english... Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/ |
Kabak |
|
---|---|
т.е в Cotonti есть ограницение - символы не являющиеся буквой или цифрой можно использовать в описании статьи на свой страх и риск. ЖАЛЬ |
Alex300 |
|
---|---|
Ограничение - элементарная безопасность. А если кто то из пользователей добавит туда что то вроде: <script>sendYourCookiesToMe()</script> И если нужно использовать HTML в описании, ничего не мешает добавить HTML экстраполе и использовать его для описания. Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english... Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/ |
Kabak |
|
---|---|
А почему именно описание так себя ведёт, а с названием темы нет проблем ? Добавлено 18 минут спустя: Непонятно почему простой текст трактуется как скрипт или HTML и подлежит исполнению или парсингу ? Можете пояснить мне ? |
|
Bu konu Kabak tarafından düzenlendi(2024-01-16 05:41, 8 aylar önce) |
Alex300 |
|
---|---|
С названием какой темы? На форуме? Если она позволяет сделать, то это ошибка. То что попадает в браузер - трактуется не как простой текст, а HTML со скриптами и стилями. И позволить пользователям бесконтрольно добавлять нефильтруемый контент - дыра в безопасности. Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english... Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/ |
Kabak |
|
---|---|
С названием страницы. Значит со страницами - дырочка в безопасности. Название и описание тем на форуме ещё не проверял.
1) А почему экстраполя не трактуются как HTML ? Если любой текст попадая в браузер трактуется как HTML, то чем поможет экстраполе, если я хочу написать <hr> или любой тег ? Браузер и экстраполе так же обработает, не так ли? |
|
Bu konu Kabak tarafından düzenlendi(2024-01-17 06:47, 8 aylar önce) |
Alex300 |
|
---|---|
Браузер даже и не знает что конкретно сгенерировало тот или иной участок HTML-кода. Он просто получает готовую страницу с кодом разметки, скриптами и стилями и выполняет все, что там есть. Как и что обрабатывать решает движок. Задача недопустить внедрения на страницу нежелательного кода и недопущения в т.ч. XSS-атак - задача движка. Поля в которых допусимо хранить HTML и потом выводить его "как есть" перед сохранением обрабатываются HtmlPurifier'ом, который из HTML убирает все лишнее. Тут у обычных пользователей может быть более строгий фильтр, у админов более мягкий. Все остальны текстовые поля, сохраняются "как есть" но при выводе обрабатываются функцией htmlspecialchars(), которая превращает HTML-верску и скрипты в обычный текст заменяя специальные символы HTML-сущностями. Это не дает сломать верстку, вставив туда "левый" HTML код и не даст выполнить "левые" скрипты. По этому, если куда то надо вставить именно HTML код - надо использовать поле которое работает с HTML. В админке, например, правила таких проверок менее строгие, т.к. обычным пользователям туда доступа нет, и там отвественность админа. Названия страниц и тем на форуме еще раз перепроверю, как только закончу с этим. Но там не должно быть проблем, т.к. их заметили бы давно. Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english... Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/ |
|
Bu konu Alex300 tarafından düzenlendi(2024-01-17 09:33, 8 aylar önce) |
Kabak |
|
---|---|
Теперь я понимаю почему посты в Котонти модифицируются и при любом сообщении изменяеются теги. Меня давно это бесит. Я думал, что плагины типа CKEditor балуются
Ну с названием страницы я нашёл в версии движка 0.9.24 бетта - проходит например <hr> Добавлено 4 часа спустя: Дело в том, что движок меняет символ `<` на какую-то последовательность типа ASCII , но эта последовательность отображается как есть, а должна отображаться символом. Я не прав? Добавлено 17 часов спустя: На форумах заменяется символ '<' и название темы и описание на последовательность < какой функцией нужно обработать такую последовательность, чтобы на странице отобразился симво '<' , а не < ? |
|
Bu konu Kabak tarafından düzenlendi(2024-01-18 07:24, 8 aylar önce) |
Edward |
|
---|---|
#47709 Kabak: Email: ed.gabishev@gmail.com
Telegram: https://t.me/Ed_Gaba |