Jump to content

Recommended Posts

Как вам такое и что с этим делать?

<script>
$(document).ready(function(){
    <?php if (isset($_GET['answer_id'])) { ?>
    if ($("#answer_id<?php echo $_GET['answer_id']; ?>").length) {
        $('html, body').animate({scrollTop: $("#answer_id<?php echo $_GET['answer_id']; ?>").offset().top - 100}, '700');
    }
    <?php } ?>
});
</script>

 

  • +1 1

Share this post


Link to post
Share on other sites

Постить на форум, очевидно же.

Share this post


Link to post
Share on other sites

Код который заслужил владелец сайта, когда связался с  людьми  с фриланс-биржи

Share this post


Link to post
Share on other sites

отлично же!

можно лишний раз владельцев сайтов не тревожить всякой ерундой типа доступов :grin:

 

откуда это?

Share this post


Link to post
Share on other sites

А что этот код делает? Из поста выше следует, что доступы светит? 

Share this post


Link to post
Share on other sites
16 минут назад, AndreyQ сказал:

Код который заслужил владелец сайта, когда связался с  людьми  с фриланс-биржи

а что тут такого страшного в этом коде? не могу понять

это какой-то модуль вопрос-ответ с прокруткой к отзыву-ответу по его id

 

разве конечно вот это гкод $_GET но явно не самое страшное что я видел

Share this post


Link to post
Share on other sites
15 минут назад, destreser сказал:

Постить на форум, очевидно же.

Я не для себя спрашиваю )

Подобное есть в достаточном количестве... запостил самый простой и лаконичный образчик

У меня плохо получается объяснять. Прошу помочь с объяснениями

Share this post


Link to post
Share on other sites
21 минуту назад, AlexDW сказал:

можно лишний раз владельцев сайтов не тревожить всякой ерундой типа доступов

в ОС срабатывает clean

$this->get = $this->clean($_GET);

Share this post


Link to post
Share on other sites
Спойлер

8932738422.png

 

Share this post


Link to post
Share on other sites

На прямой $_GET ничего не сработает фильтрующего.

Максимум что с этого можно выжать - это XSS атаку.

Но при этом надо скормить жертве подложный url. Эксплуатация довольно затруднительная, но возможная.

 

Share this post


Link to post
Share on other sites
7 часов назад, Yesvik сказал:

Как вам такое и что с этим делать?


<script>
$(document).ready(function(){
    <?php if (isset($_GET['answer_id'])) { ?>
    if ($("#answer_id<?php echo $_GET['answer_id']; ?>").length) {
        $('html, body').animate({scrollTop: $("#answer_id<?php echo $_GET['answer_id']; ?>").offset().top - 100}, '700');
    }
    <?php } ?>
});
</script>

 

а в чьем детище такое присутствует?
 

Share this post


Link to post
Share on other sites
16 часов назад, Yesvik сказал:

и что с этим делать?

если в каком-то дополнении/шаблоне - писать его автору, тыкать носом

если автор не реагирует или реагирует неадекватно - писать администрации, для оказания воздействия на автора

если и это не поможет - доносить до сообщества что пользоваться дополнениями этого автора не стоит

 

если это в коде нанятого исполнителя - информировать владельца сайта что с данным исполнителем работать не стоит

тут уже все зависит от адекватности самого владельца

его понимания и готовности обращаться к проверенным специалистам с соответствующей оплатой, а не гоняться за дешевизной работ

Share this post


Link to post
Share on other sites
11 часов назад, AlexDW сказал:
  Скрыть контент

8932738422.png

 

А.. если там будет подставлен $this->request->get['answer_id']

Разве что-то изменится?

Share this post


Link to post
Share on other sites

пока автор кода не будет делать по уму и экранировать входные данные - ничего не изменится

Share this post


Link to post
Share on other sites
В 06.11.2019 в 13:00, chukcha сказал:

А.. если там будет подставлен $this->request->get['answer_id']

Если в контроллере вот так

		if (isset($this->request->get['answer_id'])) {
		    $data['answer_id'] = (int)$this->request->get['answer_id'];
		}

а в шаблоне так

    <?php if (!empty($answer_id)) { ?>
    if ($("#answer_id<?php echo $answer_id; ?>").length) {
        $('html, body').animate({scrollTop: $("#answer_id<?php echo $answer_id; ?>").offset().top - 100}, '700');
    }
    <?php } ?>

то вопросов ни у кого не возникнет.

 

В 06.11.2019 в 12:49, AlexDW сказал:

если это в коде нанятого исполнителя

Учитывая, что подобный стиль кода обнаружен в файлах разных авторов - думаю это перлы нанятого исполнителя.

Share this post


Link to post
Share on other sites
8 часов назад, Yesvik сказал:

Если в контроллере вот так

Это я понимаю, что данные должны быть отфильтрованы по принципу  - ВСЕ входные данные должны пройти валидацию

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.