Как вам такое?

[Yesvik]

Как вам такое и что с этим делать?

<script>
$(document).ready(function(){
    <?php if (isset($_GET['answer_id'])) { ?>
    if ($("#answer_id<?php echo $_GET['answer_id']; ?>").length) {
        $('html, body').animate({scrollTop: $("#answer_id<?php echo $_GET['answer_id']; ?>").offset().top - 100}, '700');
    }
    <?php } ?>
});
</script>

 

[destreser]

Постить на форум, очевидно же.

[AndreyQ]

Код который заслужил владелец сайта, когда связался с  людьми  с фриланс-биржи

[AlexDW]

отлично же!

можно лишний раз владельцев сайтов не тревожить всякой ерундой типа доступов

 

откуда это?

[Donni]

А что этот код делает? Из поста выше следует, что доступы светит? 

[spectre]

16 минут назад, AndreyQ сказал:

Код который заслужил владелец сайта, когда связался с  людьми  с фриланс-биржи

а что тут такого страшного в этом коде? не могу понять

это какой-то модуль вопрос-ответ с прокруткой к отзыву-ответу по его id

 

разве конечно вот это гкод $_GET но явно не самое страшное что я видел

[Yesvik]

15 минут назад, destreser сказал:

Постить на форум, очевидно же.

Я не для себя спрашиваю )

Подобное есть в достаточном количестве... запостил самый простой и лаконичный образчик

У меня плохо получается объяснять. Прошу помочь с объяснениями

[chukcha]

21 минуту назад, AlexDW сказал:

можно лишний раз владельцев сайтов не тревожить всякой ерундой типа доступов

в ОС срабатывает clean

$this->get = $this->clean($_GET);

[AlexDW]

Спойлер

 

[mpn2005]

На прямой $_GET ничего не сработает фильтрующего.

Максимум что с этого можно выжать - это XSS атаку.

Но при этом надо скормить жертве подложный url. Эксплуатация довольно затруднительная, но возможная.

 

[HyperLabTeam]

7 часов назад, Yesvik сказал:

Как вам такое и что с этим делать?

<script>
$(document).ready(function(){
    <?php if (isset($_GET['answer_id'])) { ?>
    if ($("#answer_id<?php echo $_GET['answer_id']; ?>").length) {
        $('html, body').animate({scrollTop: $("#answer_id<?php echo $_GET['answer_id']; ?>").offset().top - 100}, '700');
    }
    <?php } ?>
});
</script>

 

а в чьем детище такое присутствует?
 

[AlexDW]

16 часов назад, Yesvik сказал:

и что с этим делать?

если в каком-то дополнении/шаблоне - писать его автору, тыкать носом

если автор не реагирует или реагирует неадекватно - писать администрации, для оказания воздействия на автора

если и это не поможет - доносить до сообщества что пользоваться дополнениями этого автора не стоит

 

если это в коде нанятого исполнителя - информировать владельца сайта что с данным исполнителем работать не стоит

тут уже все зависит от адекватности самого владельца

его понимания и готовности обращаться к проверенным специалистам с соответствующей оплатой, а не гоняться за дешевизной работ

[chukcha]

11 часов назад, AlexDW сказал:

  Скрыть контент

 

А.. если там будет подставлен $this->request->get['answer_id']

Разве что-то изменится?

[AlexDW]

пока автор кода не будет делать по уму и экранировать входные данные - ничего не изменится

[Yesvik]

В 06.11.2019 в 13:00, chukcha сказал:

А.. если там будет подставлен $this->request->get['answer_id']

Если в контроллере вот так

		if (isset($this->request->get['answer_id'])) {
		    $data['answer_id'] = (int)$this->request->get['answer_id'];
		}

а в шаблоне так

    <?php if (!empty($answer_id)) { ?>
    if ($("#answer_id<?php echo $answer_id; ?>").length) {
        $('html, body').animate({scrollTop: $("#answer_id<?php echo $answer_id; ?>").offset().top - 100}, '700');
    }
    <?php } ?>

то вопросов ни у кого не возникнет.

 

В 06.11.2019 в 12:49, AlexDW сказал:

если это в коде нанятого исполнителя

Учитывая, что подобный стиль кода обнаружен в файлах разных авторов - думаю это перлы нанятого исполнителя.

[chukcha]

8 часов назад, Yesvik сказал:

Если в контроллере вот так

Это я понимаю, что данные должны быть отфильтрованы по принципу  - ВСЕ входные данные должны пройти валидацию