Intellect Board — cистема управления сайтом

Построение сайта на основе форума

Intellect Board — cистема управления сайтом »   Разное »   Пользователь : //НиЧеЙ//
RSS

Пользователь : //НиЧеЙ//

Текущий рейтинг темы: Нет
Выводить сообщения
Правила раздела

<<Назад  Вперед>>Страницы: 1 2
Модераторы: aerograf, wsx
Печать
 
jozef
Участник

jozef
Всего сообщений: 96
Рейтинг пользователя: 1


Ссылка


Дата регистрации на форуме:
28 дек. 2008
Посмотрите пользователя //НиЧеЙ// При заходе на его страничку меня выбило с форума.

aerograf
Модератор форума

aerograf
Всего сообщений: 486
Рейтинг пользователя: 15


Ссылка


Дата регистрации на форуме:
29 дек. 2007
Не выбило, а просто некорректное имя выбрал пользователь ... Надо подумать как исключить данную возможность :( :(

bystep
Новичок


Всего сообщений: 2
Рейтинг пользователя: 1


Ссылка


Дата регистрации на форуме:
21 дек. 2009
эта проверка дожна была проводиться при записи в базу, дабы исключить возможность sql-инъекций, это элементарное правило безопасности :)
Но похоже Intellect Board в этом плане не блеснули Intellect`om :)
aerograf
Модератор форума

aerograf
Всего сообщений: 486
Рейтинг пользователя: 15


Ссылка


Дата регистрации на форуме:
29 дек. 2007
Ну проблем то не будет :) только вот как раз не получилось учесть проблемных (именно с головой) клиентов.... т.к. он сам к себе не сможет в свою учетную запись залезть .... но это уже проблема клиента :)

aost
Начинающий


Всего сообщений: 42
Рейтинг пользователя: 2


Ссылка


Дата регистрации на форуме:
8 дек. 2009

aerograf написал:
[q]

Ну проблем то не будет только вот как раз не получилось учесть проблемных (именно с головой) клиентов.... т.к. он сам к себе не сможет в свою учетную запись залезть .... но это уже проблема клиента
[/q]

Нет, клиент не обязан во всем этом разбираться и "запрещенные символы" как раз для этого и существуют.

---
Best regards!
aost
Начинающий


Всего сообщений: 42
Рейтинг пользователя: 2


Ссылка


Дата регистрации на форуме:
8 дек. 2009
Сейчас проверил - добавление слэшей в "запрещенные слова" при автоматической регистрации - частично помогает, из-под System-а такого пользователя создать можно (значит это не бага, а фича!). Придется снова лезть в код и там хардкодить вместо того, чтобы сделать сразу по-человечески. \":(\"

Кстати, нашел орфографическую ошибку в сообщениях (forum/langs/ru/main.php):

Пользователь с таким или очень похожЕм именем

---
Best regards!
aost
Начинающий


Всего сообщений: 42
Рейтинг пользователя: 2


Ссылка


Дата регистрации на форуме:
8 дек. 2009
Отломал возможность использования слэшей, возможно, вместе с этим отломал еще что-то, не думаю, что разработчики так бездумно вставили это в регулярное выражение. На самом деле большого смысла иметь в разрешенных символах "точку с запятой" или "запятую" - я не вижу. Отломал до кучи и их.


# cvs diff -u profile.php
Index: profile.php
===================================================================
RCS file: /usr/home/cvsroot/IBoard/profile.php,v
retrieving revision 1.1
diff -u -r1.1 profile.php
--- profile.php 8 Dec 2009 09:13:56 -0000       1.1
+++ profile.php 9 Jan 2010 22:24:29 -0000
@@ -25,7 +25,7 @@
   $styleselect = build_select("SELECT * FROM ".$GLOBALS['DBprefix']."StyleSet WHERE st_show=1",$udata['u_stid']);
   unset($udata['u__name']);
   unset($udata['u__email']);
-  if (!$GLOBALS['opt_nameletters']) $GLOBALS['opt_nameletters']='\w\d ;,+\\-*\/=ю-ъЮ-Ъ';
+  if (!$GLOBALS['opt_nameletters']) $GLOBALS['opt_nameletters']='\w\d +-*=ю-ъЮ-Ъ';
   user_profile($newaction,"profile",$udata,$styleselect,$langselect,build_avatar_select());
}

@@ -178,7 +178,7 @@
   if ($GLOBALS['inuserlevel']<1000) $sqldata="WHERE st_show=1";
   else $sqldata="";
   $styleselect = build_select("SELECT * FROM ".$GLOBALS['DBprefix']."StyleSet $sqldata",$udata['u_stid']);
-  if (!$GLOBALS['opt_nameletters']) $GLOBALS['opt_nameletters']='\w\d ;,+\\-*\/=ю-ъЮ-Ъ';
+  if (!$GLOBALS['opt_nameletters']) $GLOBALS['opt_nameletters']='\w\d +-*=ю-ъЮ-Ъ';
   user_profile("do_edit","profile",$udata,$styleselect,$langselect,build_avatar_select());
}

@@ -655,7 +655,7 @@
     $newname = trim(getvar("u__name"));
     $newname = preg_replace('/  +/',' ',$newname);    
    
-    if (!$GLOBALS['opt_nameletters']) $GLOBALS['opt_nameletters']='\w\d ;,+\\-*\/=ю-ъЮ-Ъ';
+    if (!$GLOBALS['opt_nameletters']) $GLOBALS['opt_nameletters']='\w\d +-*=ю-ъЮ-Ъ';
     if (!preg_match('/^['.$GLOBALS['opt_nameletters'].']+$/',$newname)) error(MSG_e_u_cyrforbidden);
     if ($newname=="Guest" || $newname=="System" || $newname=="NewUser") error(MSG_e_u_reservedname);
     require('canonize.php');

---
Best regards!
Gram
Администратор

Gram
Откуда: Нижний Новгород
Всего сообщений: 1011
Рейтинг пользователя: 38


Ссылка


Дата регистрации на форуме:
23 июля 2003
aost, спасибо, только я бы всё-таки оставил вот такой набор — "\wА-Яа-я\-\_"
aost
Начинающий


Всего сообщений: 42
Рейтинг пользователя: 2


Ссылка


Дата регистрации на форуме:
8 дек. 2009
Не согласен.

Лично я часто пользуюсь пробелом при указании имени и фамилии в качестве ника на форуме, точку часто используют для буквы отчества (Alla V. Kalinina например). Кто-то, наткнувшись на похожий псевдоним, пытается сделать ник уникальным добавлением года рождения: т.е. цифры нужны однозначно.

Для чего может быть использована запятая в имени - я просто не знаю. Точка с запятой может быть использована для инъекции, слэши - откровенно мешают.

---
Best regards!
Gram
Администратор

Gram
Откуда: Нижний Новгород
Всего сообщений: 1011
Рейтинг пользователя: 38


Ссылка


Дата регистрации на форуме:
23 июля 2003
aost, с пробелом я действительно перестарался, исправляемся — '\w А-Яа-я\-\_'

Точки, запятые и прочие символы в логине не нужны. А цифры и у меня в наборе есть, если что.

И так, на всякий случай — в настройках форума можно задать как раз этот набор, правда там символ \ не корректно сохраняется.
<<Назад  Вперед>>Страницы: 1 2
Модераторы: aerograf, wsx
Печать
Intellect Board — cистема управления сайтом »   Разное »   Пользователь : //НиЧеЙ//
RSS

1 посетитель просмотрел эту тему за последние 10 минут
В том числе: 1 гость, 0 скрытых пользователей

Последние RSS
Ограничение доступа
не отображаются разделы
Архив версий
Установка стиля на Intellect Board 2.22
Завершилась работа над новой версией 3.00

Самые активные 5 тем RSS


Время выполнения скрипта: 0.1138. Количество выполненных запросов: 17, время выполнения запросов 0.0000
Creative Commons License Rambler's Top100 Rambler's Top100 Рейтинг@Mail.ru Valid HTML 4.01 Transitional Valid CSS!