|
ktotoff
АльтерЛан
Зарегистрирован:
2006-12-19
Сообщений: 339
|
Пентестим один из проектов не Неткет и контур безопасности заваливает меня сообщениями. Это нормально и полезно — вижу косячки и исправляю их.
Однако с серией инцидентов справиться не знаю как.
Ругается на неэкранированное значение. Смотрю в код и не понимаю, что тут неэкранировано!
Попытался добавить читабельности.
Код:$browse_hide['unactive'] = "
<li \".(
\$data[\$i]['page_Direct'] == \$parent_sub_tree[0]['Subdivision_ID'] ||
\$data[\$i]['page_Parent'] == \$parent_sub_tree[1]['Subdivision_ID'] ||
\$data[\$i]['page_Direct'] == \$parent_sub_tree[1]['Parent_Sub_ID'] ? \" class='current'\" : NULL ).\" >
\".( \$parent_sub_tree[0]['Subdivision_ID'] == \$data[\$i]['page_Direct'] ? \"
<strong>%NAME</strong>
\" : \"
<a href='%URL'\".( \$data[\$i]['page_Target'] ? \" target='_blank'\" : NULL).\"><span>%NAME</span></a>
\" ).\" </li> ";
Журнал безопасности мне подсвечивает такое и я не понимаю почему. Что не так?
$result.= "<li".( $data[$i]['page_Direct'] == $parent_sub_tree[0]['Subdivision_ID'] || $data[$i]['page_Parent'] == $parent_sub_tree[1]['Subdivision_ID'] || $data[$i]['page_Direct'] == $parent_sub_tree[1]['Parent_Sub_ID'] ? " class='current'" : NULL ).">".( $parent_sub_tree[0]['Subdivision_ID'] == $data[$i]['page_Direct'] ? "<strong>Название</strong>" : "<a href='/site/sub/page/'".( $data[$i]['page_Target'] ? " target='_blank'" : NULL)."><span>Название</span></a>" )."</li>";
Спасибо!
...жизнь прекрасна, когда правильно подобраны антидепрессанты...
|
|
ktotoff
АльтерЛан
Зарегистрирован:
2006-12-19
Сообщений: 339
|
Попробую, спасибо!
$nc_core->nav использовать можно, версия неткет последняя. Но это давно работающий проект, уже обросший всякими нюансами. Переделывание центральной навигации, которая также обвешана исключениями и ситуациями, как елка игрушками — такая себе задача. Это в планах, но это целое дело!
...жизнь прекрасна, когда правильно подобраны антидепрессанты...
|
