Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Modul: Gästebuch
Forum Sefrengo.org > Bugtracker > Bugs Module, Plugins, Sonstiges
MaZderMind
Tue. 14. November 2006, 00:11
In Zeile 181 des Moduloutputs steht
QUELLTEXT
if($sess->name == 'cms') {

Der Backend-Sessionname lautet allerdings "sefrengo". Daher muss die Zeile korrekt lauten
QUELLTEXT
if($sess->name == 'sefrengo') {


Durch diesen Fehler wird auch beim Bearbeiten eines Gästebucheintrages das Frontend-Formular ausgegeben und deswegen das Feld "Antwort" bzw. "Kommentar 2" nicht mit ausgegeben.
Meiner Meinung sollte an dieser Stelle allerdings besser
QUELLTEXT
if($view == 'edit') {

verwendet werden, da damit auch zw. Bearbeiten- und Vorschau-Modus unterschieden werden kann.

Eine korrigierte Version habe ich im Modul-Bereich gepostet, aber da es sich um ein Standardmodul handelt ist es IMHO ein Bug im Release.

Gruß, Peter
bjoern
Tue. 21. November 2006, 01:31
Für Modulbugs habe ich ein neues Forum eingerichtet. ich schieb den beitrag da mal rein.
MaZderMind
Tue. 21. November 2006, 22:49
Hi
Ein weiterer Bug: Quotes " und ' werden mit \" und \' in die DB geschrieben. Das liegt an den set_magic_quotes_gpc-Aufrufen in den Einfügeroutinen ab Zeile 232. Auskommentiert und fertig.
Cool wäre es auch noch wenn folgender code zur Linkerkennung eingebaut würde, der macht aus eingegeben Links anklickbare HTML-Links (so ab Zeile 496 vor die {VARIABLE}-Replaces) einfügen:
QUELLTEXT
            $search  = '((http|https|ftp):\/\/(?:[a-zA-Z0-9][a-zA-Z0-9\=._-]*\.)*[a-zA-Z0-9][a-zA-Z0-9._-]*\.[a-zA-Z]{2,5}\/?[\x21\x23-\x27\x2A-\x3B\x3D\x3F-\x7E]*)';
            $replace = '<a href="\0">\0</a>';
            $gb[$i]['comment'] = preg_replace("@$search@i", $replace, htmlspecialchars($gb[$i]['comment'], ENT_COMPAT, 'UTF-8'));
            $gb[$i]['comment2'] = preg_replace("@$search@i", $replace, $gb[$i]['comment2']);

und dafür den htmlspecialchars-Aufruf in der darauffolgenden Ausgabe von {comment} löschen.

Gruß, Peter
mistral
Wed. 22. November 2006, 08:43
ZITAT
Ein weiterer Bug: Quotes " und ' werden mit \" und \' in die DB geschrieben. Das liegt an den set_magic_quotes_gpc-Aufrufen in den Einfügeroutinen ab Zeile 232. Auskommentiert und fertig.


Bist du Dir sicher, dass das ein Bug ist?

Dein Wunsch das Links anclickbar sind finde ich nicht gut, dass kann zu einem Sicherheisproblem werden.
MaZderMind
Wed. 22. November 2006, 13:39
Dann halt abschaltbar einbauen, wers nicht mag / Probleme hat der kans dann deaktivieren.
Es ist ein Bug da die Texte auch genau so, also mit Slashes ausgegeben werden.

Gruß, Peter
Olaf
Wed. 22. November 2006, 13:59
IMHO steckt der Bug dann aber an anderer Stelle, oder!? Ist doch von Vorteil wenn die escaped werden, so kenn ich das. Sollten beim Auslesen entfernt werden oder seh ich das falsch?
MaZderMind
Wed. 22. November 2006, 15:08
ZITAT
Ist doch von Vorteil wenn die escaped werden

Hmm ich hab eben mal ien paar Standard-SQL-Injection-Tests gemacht und die ham nicht funktioniert...

Gruß, Peter
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2024 Invision Power Services, Inc.