Forumlar / National / Russian / Cotonti 0.9.24 Beta

<<<12345678>>>

Тестирование и баги

Kort
#61 2023-12-24 15:44

Если в плагине изменить настройку (в моем случае Auth_guests), то для ее вступления (раньше?) надо было просто обновить плагин. Сейчас надо удалить и установить заново. Свежий срез.

SED.by - создание сайтов, разработка плагинов и тем для Котонти
Kabak Çevrimiçi
#62 2023-12-24 17:04
#47655 Alex300:

Не воспроизводится. Да и users/inc/users.main.php on line 86 не содержит ничего такого, что могло бы вызвать это: https://github.com/Cotonti/Cotonti/blob/master/modules/users/inc/users.main.php#L86

Это всё после игры с параметрами поиска - фильтрами и потом нажатий на стрелочки ASC  /  DESC.  Я уже писал  о похожей проблеме с Ricent Items  ( когда играешься с фильтрами, после какой-то последовательности начинаются варнинги )

Проблема есть и воспроизводится на нескольких сайтах
1) в поиске по имени указать существующее имя

2) нажать отправить

3) очистить поле поиска по имени

4) нажать отправить

5) нажать на любую стрелку фильтрации ASC  /  DESC.


Bu konu Kabak tarafından düzenlendi(2023-12-24 17:17, 9 aylar önce)
Alex300
#63 2023-12-24 19:03
#47657 Kort:

Если в плагине изменить настройку (в моем случае Auth_guests), то для ее вступления (раньше?) надо было просто обновить плагин. Сейчас надо удалить и установить заново. Свежий срез.

Не помню, чтобы я трогал эту часть. В настройках плагина указываются права по-умолчанию, которые выставляются при установке. Такое поведение логично. Если на сайте десяток групп пользователей, для которых настроены права, то после обновления плагина права доступа не должны сбрасываться в значения по-умолчанию и требоваться перенастройка прав. Единственый кейс это когда какое-то из прав меняются на противоположное и оно становится locked. Но обработка этого кейса потребует серьезных правок.

Если все же необходимо сменить права при обновлении, можно в патч добавить соотвествующие запросы к БД.

 

Проблема есть и воспроизводится на нескольких сайтах

А на актульной версии из мастер ветки?

На строке 86 https://skr.sh/sNRhNbRIHfG сейчас код if (empty($d)) {, а empty() можно передать все что угодно. Хоть false, null, хоть несуществующую переменную.

Как бы там ни было, сейчас займусь https://github.com/Cotonti/Cotonti/issues/1757 и все еще раз перепроверю.

Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english...
Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/

Bu konu Alex300 tarafından düzenlendi(2023-12-25 06:20, 9 aylar önce)
Kabak Çevrimiçi
#64 2023-12-25 06:51

На свежем срезе просто отсутствуют стрелки для сортировки по ASC  /  DESC

Alex300
#65 2023-12-26 08:27

Оптимизация тегов: https://github.com/Cotonti/Cotonti/commit/2463c344043703f5f364638b149330e04948f556#diff-36774188803f4756469541d8134ff0b16156b6da4ddcf393475cbf9b622f3067R32

Теги сортировки вида USERS_TOP_XXX заменены на более понятные USERS_SORT_XXX. Я обычно стараюсь сохранить старые версии тегов, но тут это казалось немного проблематично. После выпуска 0.9.24 опишем все изменения в тегах, чтобы было понятно и наглядно как темы обновить.

Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english...
Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/

Bu konu Alex300 tarafından düzenlendi(2023-12-26 10:02, 9 aylar önce)
Kabak Çevrimiçi
#66 2023-12-26 15:20

Варнинг ушёл

 

Я предлагаю сделать отдельную ветку на форуме или статью, где будут перечислены все старые теги от версии 0.9.21 или 0.9.23 и их аналоги из версии 0.9.24   потому что некоторые имена кроме USERS_SORT_  имеют другой хвост.

Добавлено 23 часа спустя:

Кстати, с Ricent Items точно такая же проблема при игре с фильтрами за какой период выводить статьи.

Добавлено 9 минут спустя:

#47014 Kabak:

Всем привет

 

Если играться и нажимать на эти ссылки, то  в какой-то момент сайт начинает создавать неправильные ссылки и выдаёт сообщение 

Не найдено (404)

Запрошенный ресурс сервером не найден.
Запрошенный URL устарел, ошибочен, или доступ к нему закрыт.

 

неправильные линки созданные движком :

http:/xxx/index.php?e=recentitems30&mode=pages

http://xxx/index.php?e=recentitems30&mode=forums

 

Непонятно почему , это происходит не сразу, а после нескольких нажатий на за неделюза 2 неделиза месяц вперемешку с ВсеСтраницыФорумы

почему-то пропускается &days=

Это не на одном сайте, а на нескольких с плагином Recent Items

 

 

 

Добавлено 2 недели спустя:

если в описании страницы указать <hr> , то первый символ '<' заменяется на  &lt;

По-моему так быть не должно или это особенность движка ?


Bu konu Kabak tarafından düzenlendi(2024-01-15 09:42, 8 aylar önce)
Alex300
#67 2024-01-15 15:11

Поскольку описание - это простой текст, то к нему не прменяется HtmlPurifier и при выводе оно заворачивается в htmlspecialchars().

Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english...
Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/
Kabak Çevrimiçi
#68 2024-01-15 16:24

т.е в Cotonti есть ограницение - символы не являющиеся буквой или цифрой можно использовать в описании статьи  на свой страх и риск.   ЖАЛЬ

Alex300
#69 2024-01-16 05:12

Ограничение - элементарная безопасность.

А если кто то из пользователей добавит туда что то вроде:

<script>sendYourCookiesToMe()</script>

И если нужно использовать HTML в описании, ничего не мешает добавить HTML экстраполе и использовать его для описания.

Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english...
Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/
Kabak Çevrimiçi
#70 2024-01-16 05:21

А почему именно описание так себя ведёт, а с названием темы нет проблем ?

Добавлено 18 минут спустя:

Непонятно почему простой текст трактуется как скрипт или HTML и подлежит исполнению или парсингу ?  Можете пояснить мне ?


Bu konu Kabak tarafından düzenlendi(2024-01-16 05:41, 8 aylar önce)
Alex300
#71 2024-01-16 19:37

С названием какой темы? На форуме? Если она позволяет сделать, то это ошибка.

То что попадает в браузер - трактуется не как простой текст, а HTML со скриптами и стилями. И позволить пользователям бесконтрольно добавлять нефильтруемый контент - дыра в безопасности.

Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english...
Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/
Kabak Çevrimiçi
#72 2024-01-17 06:05

С названием страницы.  Значит со страницами - дырочка в безопасности.

Название и описание тем на форуме ещё не проверял.

 

1) А почему экстраполя не трактуются как HTML ? 

Если любой текст попадая в браузер трактуется как HTML, то чем поможет экстраполе, если я хочу написать  <hr> или любой тег ? 

Браузер и экстраполе так же обработает, не так ли?


Bu konu Kabak tarafından düzenlendi(2024-01-17 06:47, 8 aylar önce)
Alex300
#73 2024-01-17 08:38

Браузер даже и не знает что конкретно сгенерировало тот или иной участок HTML-кода. Он просто получает готовую страницу с кодом разметки, скриптами и стилями и выполняет все, что там есть. Как и что обрабатывать решает движок. Задача недопустить внедрения на страницу нежелательного кода и недопущения в т.ч. XSS-атак - задача движка.  Поля в которых допусимо хранить HTML и потом выводить его "как есть" перед сохранением обрабатываются HtmlPurifier'ом, который из HTML убирает все лишнее. Тут у обычных пользователей может быть более строгий фильтр, у админов более мягкий. Все остальны текстовые поля, сохраняются "как есть" но при выводе обрабатываются функцией htmlspecialchars(), которая превращает HTML-верску и скрипты в обычный текст заменяя специальные символы HTML-сущностями. Это не дает сломать верстку, вставив туда "левый" HTML код и не даст выполнить "левые" скрипты.

По этому, если куда то надо вставить именно HTML код - надо использовать поле которое работает с HTML.

В админке, например, правила таких проверок менее строгие, т.к. обычным пользователям туда доступа нет, и там отвественность админа.

Названия страниц и тем на форуме еще раз перепроверю, как только закончу с этим. Но там не должно быть проблем, т.к. их заметили бы давно.

Есть миры, не здесь, там, где небеса горят, и моря засыпают, и реки дремлют; люди сделаны из дыма, а города – из песен. Где-то опасность, где-то несправедливость, даже где-то остыл чай. Идем Эйс, у нас много работы!...
...Sorry for my english...
Бесплатные расширения для Cotonti: https://lily-software.com/free-scripts/

Bu konu Alex300 tarafından düzenlendi(2024-01-17 09:33, 8 aylar önce)
Kabak Çevrimiçi
#74 2024-01-17 08:57

Теперь я понимаю почему посты в Котонти модифицируются и при любом сообщении изменяеются теги.  Меня давно это бесит.  Я думал, что плагины типа CKEditor балуются

 

Названия страниц и тем на форуме еще раз перепроверю, как только закончу с этим. Но там не должно быть проблем, т.к. их заметили бы давно.

Ну с названием страницы я нашёл в версии движка 0.9.24 бетта - проходит например <hr>

Добавлено 4 часа спустя:

Дело в том, что движок меняет символ `<` на какую-то последовательность типа ASCII , но эта последовательность отображается как есть, а должна отображаться символом.  Я не прав?

Добавлено 17 часов спустя:

На форумах заменяется символ '<' и название темы и описание на последовательность &lt;

какой функцией нужно обработать такую последовательность, чтобы на странице отобразился симво '<' , а не &lt; ?


Bu konu Kabak tarafından düzenlendi(2024-01-18 07:24, 8 aylar önce)
Edward
#75 2024-01-18 14:23
#47709 Kabak:

Добавлено 17 часов спустя:

На форумах заменяется символ '<' и название темы и описание на последовательность &lt;

какой функцией нужно обработать такую последовательность, чтобы на странице отобразился симво '<' , а не &lt; ?

htmlspecialchars_decode()

Email: ed.gabishev@gmail.com
Telegram: https://t.me/Ed_Gaba

<<<12345678>>>

Bu konu kilitlenmiş ve yeni mesaj kabul edilmiyor.