Geschrieben von: MaZderMind Tue. 14. November 2006, 00:11
In Zeile 181 des Moduloutputs steht
QUELLTEXT
if($sess->name == 'cms') {
Der Backend-Sessionname lautet allerdings "sefrengo". Daher muss die Zeile korrekt lauten
QUELLTEXT
if($sess->name == 'sefrengo') {
Durch diesen Fehler wird auch beim Bearbeiten eines Gästebucheintrages das Frontend-Formular ausgegeben und deswegen das Feld "Antwort" bzw. "Kommentar 2" nicht mit ausgegeben.
Meiner Meinung sollte an dieser Stelle allerdings besser
QUELLTEXT
if($view == 'edit') {
verwendet werden, da damit auch zw. Bearbeiten- und Vorschau-Modus unterschieden werden kann.
Eine korrigierte Version habe ich im Modul-Bereich gepostet, aber da es sich um ein Standardmodul handelt ist es IMHO ein Bug im Release.
Gruß, Peter
Geschrieben von: bjoern Tue. 21. November 2006, 01:31
Für Modulbugs habe ich ein neues Forum eingerichtet. ich schieb den beitrag da mal rein.
Geschrieben von: MaZderMind Tue. 21. November 2006, 22:49
Hi
Ein weiterer Bug: Quotes " und ' werden mit \" und \' in die DB geschrieben. Das liegt an den set_magic_quotes_gpc-Aufrufen in den Einfügeroutinen ab Zeile 232. Auskommentiert und fertig.
Cool wäre es auch noch wenn folgender code zur Linkerkennung eingebaut würde, der macht aus eingegeben Links anklickbare HTML-Links (so ab Zeile 496 vor die {VARIABLE}-Replaces) einfügen:
QUELLTEXT
$search = '((http|https|ftp):\/\/(?:[a-zA-Z0-9][a-zA-Z0-9\=._-]*\.)*[a-zA-Z0-9][a-zA-Z0-9._-]*\.[a-zA-Z]{2,5}\/?[\x21\x23-\x27\x2A-\x3B\x3D\x3F-\x7E]*)';
$replace = '<a href="\0">\0</a>';
$gb[$i]['comment'] = preg_replace("@$search@i", $replace, htmlspecialchars($gb[$i]['comment'], ENT_COMPAT, 'UTF-8'));
$gb[$i]['comment2'] = preg_replace("@$search@i", $replace, $gb[$i]['comment2']);
und dafür den htmlspecialchars-Aufruf in der darauffolgenden Ausgabe von {comment} löschen.
Gruß, Peter
Geschrieben von: mistral Wed. 22. November 2006, 08:43
ZITAT
Ein weiterer Bug: Quotes " und ' werden mit \" und \' in die DB geschrieben. Das liegt an den set_magic_quotes_gpc-Aufrufen in den Einfügeroutinen ab Zeile 232. Auskommentiert und fertig.
Bist du Dir sicher, dass das ein Bug ist?
Dein Wunsch das Links anclickbar sind finde ich nicht gut, dass kann zu einem Sicherheisproblem werden.
Geschrieben von: MaZderMind Wed. 22. November 2006, 13:39
Dann halt abschaltbar einbauen, wers nicht mag / Probleme hat der kans dann deaktivieren.
Es ist ein Bug da die Texte auch genau so, also mit Slashes ausgegeben werden.
Gruß, Peter
Geschrieben von: Olaf Wed. 22. November 2006, 13:59
IMHO steckt der Bug dann aber an anderer Stelle, oder!? Ist doch von Vorteil wenn die escaped werden, so kenn ich das. Sollten beim Auslesen entfernt werden oder seh ich das falsch?
Geschrieben von: MaZderMind Wed. 22. November 2006, 15:08
ZITAT
Ist doch von Vorteil wenn die escaped werden
Hmm ich hab eben mal ien paar Standard-SQL-Injection-Tests gemacht und die ham nicht funktioniert...
Gruß, Peter