Yii Framework

Люди обратите внимаение на безопасность ваших сайтов!!!

Не делаете дыр

Дыра на поверхности (это безобидная, а ведь можно и что-то похуже):
http://www.prohq.ru/projects/search/?q= ... Fscript%3E

может надо создателям ресурса отписать было, а не публичо выложить, аяяяй

Конечно написал - возможно что-то сделают.

htmlspecialchars спасёт?!

CHtml::encode.

Пфф... люди освоили чуть-чуть Yii и давай сайты делать) есть картинка на эту тему http://cs418925.userapi.com/v418925664/ ... FhvYO8.jpg

Жалко, что она вконтактике, к которому доступа нету...

Интересно сколько времени будет эта дыра. Вчера утром отписался. Еще существует.

Исполнителя сложно найти наверное, проект делал человек, которого в штате нет ) Да и внеплановые расходы:)

тут помимо фильтрации вывода, по хорошему нужно фильтровать и на входе, я юзаю экстеншен http://www.yiiframework.com/extension/input
но это по сути перетянутый компонент из codeigniter

может кто знает реализацию по лучше?

Обычные правила валидации уже не в моде?:( можно впринципе и перед сохранением выпиливать через purifire тот же, без разницы.

sergebezborodov писал(а):может кто знает реализацию по лучше?

фильтр + встроенный CHtmlPurifier

На самом деле дыра не совсем безобидная и при желании можно получить доступ к аккаунту пользователя, утянув куки, предварительно подсунув "правильно" сформированную ссылку. Хотя как в случае с конкретно данным ресурсом - ту нужно смотреть отдельно.

дыра кстати до сих пор

Она им не мешает ^_^

дак а админам то писали? или может тут есть кто делал?

этот проект на сколько я знаю финансируют инвесторы, вложили дохера бабла туда, я слышал цифру в сотни тысяч баксов, не верится правда. Видимо его заморозили или ищут новых исполнителей

лол

mc-bear