Профиль и настройки
Заказы Лицензии Техническая поддержка Выйти
Регистрация
Восстановление пароля
Вход
на Главную /  Разработчикам /  Форум /  Разработка сайта

И снова про экранирование

30.05.2024, 19:19
ktotoff
АльтерЛан

Зарегистрирован:
2006-12-19
Сообщений: 340

 		Пентестим один из проектов не Неткет и контур безопасности заваливает меня сообщениями. Это нормально и полезно — вижу косячки и исправляю их.

Однако с серией инцидентов справиться не знаю как.
Ругается на неэкранированное значение. Смотрю в код и не понимаю, что тут неэкранировано!

Попытался добавить читабельности.

Код:
$browse_hide['unactive'] = "

<li \".(

    \$data[\$i]['page_Direct'] == \$parent_sub_tree[0]['Subdivision_ID'] ||

    \$data[\$i]['page_Parent'] == \$parent_sub_tree[1]['Subdivision_ID'] ||

    \$data[\$i]['page_Direct'] == \$parent_sub_tree[1]['Parent_Sub_ID'] ? \" class='current'\" : NULL ).\" >

    \".( \$parent_sub_tree[0]['Subdivision_ID'] == \$data[\$i]['page_Direct'] ? \"

      <strong>%NAME</strong>

    \" : \"

      <a href='%URL'\".( \$data[\$i]['page_Target'] ? \" target='_blank'\" : NULL).\"><span>%NAME</span></a>

    \" ).\" </li> ";


Журнал безопасности мне подсвечивает такое и я не понимаю почему. Что не так?

$result.= "<li".( $data[$i]['page_Direct'] == $parent_sub_tree[0]['Subdivision_ID'] || $data[$i]['page_Parent'] == $parent_sub_tree[1]['Subdivision_ID'] || $data[$i]['page_Direct'] == $parent_sub_tree[1]['Parent_Sub_ID'] ? " class='current'" : NULL ).">".( $parent_sub_tree[0]['Subdivision_ID'] == $data[$i]['page_Direct'] ? "<strong>Название</strong>" : "<a href='/site/sub/page/'".( $data[$i]['page_Target'] ? " target='_blank'" : NULL)."><span>Название</span></a>" )."</li>";

Спасибо!

...жизнь прекрасна, когда правильно подобраны антидепрессанты...
08.06.2024, 19:51
Игорь
Игорь Мишарин
Игорь

Зарегистрирован:
2011-11-20
Сообщений: 483

 		Попробуйте убрать одинарные кавычки:
Код:
\$data[\$i]['page_Direct'] == \$parent_sub_tree[0]['Subdivision_ID']


p.s. Неужели такая старая версия Netcat. что нельзя использовать Класс навигации?
Код:
$nav = $nc_core->nav;


Stark
20.06.2024, 11:56
ktotoff
АльтерЛан

Зарегистрирован:
2006-12-19
Сообщений: 340

 		Попробую, спасибо!

$nc_core->nav использовать можно, версия неткет последняя. Но это давно работающий проект, уже обросший всякими нюансами. Переделывание центральной навигации, которая также обвешана исключениями и ситуациями, как елка игрушками — такая себе задача. Это в планах, но это целое дело!

...жизнь прекрасна, когда правильно подобраны антидепрессанты...
198 196 2024-06-20 11:56:08 15378
Описание проекта
Сохранить и свернуть