Modul: Gästebuch |
Willkommen, Gast ( Anmelden | Registrierung ) [ Hilfe | Mitglieder | Suche ]
Modul: Gästebuch |
Tue. 14. November 2006, 00:11
Beitrag
#1
|
|
Advanced Member Gruppe: AdvancedMembers Beiträge: 680 Mitglied seit: 09.08.2006 Wohnort: nähe Mainz Mitglieds-Nr.: 182 |
In Zeile 181 des Moduloutputs steht
QUELLTEXT if($sess->name == 'cms') { Der Backend-Sessionname lautet allerdings "sefrengo". Daher muss die Zeile korrekt lauten QUELLTEXT if($sess->name == 'sefrengo') { Durch diesen Fehler wird auch beim Bearbeiten eines Gästebucheintrages das Frontend-Formular ausgegeben und deswegen das Feld "Antwort" bzw. "Kommentar 2" nicht mit ausgegeben. Meiner Meinung sollte an dieser Stelle allerdings besser QUELLTEXT if($view == 'edit') { verwendet werden, da damit auch zw. Bearbeiten- und Vorschau-Modus unterschieden werden kann. Eine korrigierte Version habe ich im Modul-Bereich gepostet, aber da es sich um ein Standardmodul handelt ist es IMHO ein Bug im Release. Gruß, Peter |
|
|
Tue. 21. November 2006, 01:31
Beitrag
#2
|
|
Administrator Gruppe: Members Beiträge: 1.092 Mitglied seit: 16.06.2006 Wohnort: Köln Mitglieds-Nr.: 1 |
Für Modulbugs habe ich ein neues Forum eingerichtet. ich schieb den beitrag da mal rein.
-------------------- Es wird, es wird...
|
|
|
Tue. 21. November 2006, 22:49
Beitrag
#3
|
|
Advanced Member Gruppe: AdvancedMembers Beiträge: 680 Mitglied seit: 09.08.2006 Wohnort: nähe Mainz Mitglieds-Nr.: 182 |
Hi
Ein weiterer Bug: Quotes " und ' werden mit \" und \' in die DB geschrieben. Das liegt an den set_magic_quotes_gpc-Aufrufen in den Einfügeroutinen ab Zeile 232. Auskommentiert und fertig. Cool wäre es auch noch wenn folgender code zur Linkerkennung eingebaut würde, der macht aus eingegeben Links anklickbare HTML-Links (so ab Zeile 496 vor die {VARIABLE}-Replaces) einfügen: QUELLTEXT $search = '((http|https|ftp):\/\/(?:[a-zA-Z0-9][a-zA-Z0-9\=._-]*\.)*[a-zA-Z0-9][a-zA-Z0-9._-]*\.[a-zA-Z]{2,5}\/?[\x21\x23-\x27\x2A-\x3B\x3D\x3F-\x7E]*)'; $replace = '<a href="\0">\0</a>'; $gb[$i]['comment'] = preg_replace("@$search@i", $replace, htmlspecialchars($gb[$i]['comment'], ENT_COMPAT, 'UTF-8')); $gb[$i]['comment2'] = preg_replace("@$search@i", $replace, $gb[$i]['comment2']); und dafür den htmlspecialchars-Aufruf in der darauffolgenden Ausgabe von {comment} löschen. Gruß, Peter |
|
|
Wed. 22. November 2006, 08:43
Beitrag
#4
|
|
Advanced Member Gruppe: AdvancedMembers Beiträge: 343 Mitglied seit: 26.06.2006 Wohnort: CH Mitglieds-Nr.: 5 |
ZITAT Ein weiterer Bug: Quotes " und ' werden mit \" und \' in die DB geschrieben. Das liegt an den set_magic_quotes_gpc-Aufrufen in den Einfügeroutinen ab Zeile 232. Auskommentiert und fertig. Bist du Dir sicher, dass das ein Bug ist? Dein Wunsch das Links anclickbar sind finde ich nicht gut, dass kann zu einem Sicherheisproblem werden. -------------------- So einfach wie möglich, aber nicht einfacher!
(Albert Einstein) |
|
|
Wed. 22. November 2006, 13:39
Beitrag
#5
|
|
Advanced Member Gruppe: AdvancedMembers Beiträge: 680 Mitglied seit: 09.08.2006 Wohnort: nähe Mainz Mitglieds-Nr.: 182 |
Dann halt abschaltbar einbauen, wers nicht mag / Probleme hat der kans dann deaktivieren.
Es ist ein Bug da die Texte auch genau so, also mit Slashes ausgegeben werden. Gruß, Peter |
|
|
Wed. 22. November 2006, 13:59
Beitrag
#6
|
|
Advanced Member Gruppe: AdvancedMembers Beiträge: 613 Mitglied seit: 30.06.2006 Mitglieds-Nr.: 30 |
IMHO steckt der Bug dann aber an anderer Stelle, oder!? Ist doch von Vorteil wenn die escaped werden, so kenn ich das. Sollten beim Auslesen entfernt werden oder seh ich das falsch?
-------------------- |
|
|
Wed. 22. November 2006, 15:08
Beitrag
#7
|
|
Advanced Member Gruppe: AdvancedMembers Beiträge: 680 Mitglied seit: 09.08.2006 Wohnort: nähe Mainz Mitglieds-Nr.: 182 |
ZITAT Ist doch von Vorteil wenn die escaped werden Hmm ich hab eben mal ien paar Standard-SQL-Injection-Tests gemacht und die ham nicht funktioniert... Gruß, Peter |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 26.9.24 - 12:55 |