Попытка взлома у автора новостей Опции

[livetver]

В общем, фиг знает что за ерунда, но когда автор моего сайта начинает постить новость, у нег на экране вылезает текст "попытка взлома", тем самым не может добавить новость. С чем это может быть связано? Что за чушь? (IMG:http://antislaed.net/style_emoticons/default/smile.gif)

[Sunvas]

Это такие фильтры тупые.. Лечиться только хирургическим путем.

[livetver]

Sunvas, может посоветуешь что именно нужно сделать?

[Sunvas]

Нужно отучить фильтры фильтровать ненужные поля.

[Vespertilio]

Нужно отучить фильтры фильтровать ненужные поля.

И как это сделать в 4.1 к примеру. У меня тоже такая проблема.. Глюк появляется при добавлении больших текстов новостей. Что нужно сделать. Поподробнее если можно. я неочень шарю в php и т.д. =)

[rAmantiK]

Оживляем тему (IMG:http://antislaed.net/style_emoticons/default/happy.gif)

В общем проблема идентичная...
Когда дополнительный админ с правами на редактирование определенных модулей... редактирует один из них.
При нажатии на кнопку сохранить у него выходит сообщение "Запрещенное действие!" и в warn.txt пишет:
---------------------------------------------------------------------------------------------------------------------------------------------
Запрещенное действие: HTML in POST - text =


№1
Игрок
Игры
Замена
Время
Голы (П)
IP Адрес: 95.57.197.177
Пользователь: rAmantiK
Ссылка: /admin.php
Браузер: Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.15) Gecko/20110303 MRA 5.7 (build 03796) Firefox/3.6.15
Дата: 14.03.2011 - 00:05:41
----------------------------------------------------------------------------------------------------------------------------------------------

Даю этому админу полные права... ошибка не выдается.
Где именно редактировать фильтр.

ЗЫ сохраняется только одно поле в котором очень много символов.

[rAmantiK]

Супер... Проблема решена.

В файле function/security.php
Находим функцию function warn_report($msg) {

В ней заменяем

КОД

mail_send($conf['adminmail'], $conf['adminmail'], $subject, $mmsg, 0, 1);

На

КОД

$res = $db->sql_query("SELECT name FROM ".$prefix."_admins WHERE super='0' ORDER BY id");
while(list($name) = $db->sql_fetchrow($res)) {
if($user == $name){$i=1;}
}

if ($i == 1){
}else{
mail_send($conf['adminmail'], $conf['adminmail'], $subject, $mmsg, 0, 1);
}

Затем находим

КОД

get_exit(_WARN."! $user", 1);

И заменяем на

КОД

if ($i == 1){
}else{
get_exit(_WARN."! $user", 1);
}

Т.Е. Если $user(имя пользователя) равен $name(имя пользователя из списка админов) то никаких проблем и ошибок не выводится.

Сообщение отредактировал rAmantiK: Mar 14 2011, 00:20

[vitalik1972]

Очень понравились конструкции вида:

КОД

if ($i == 1){
}else{

(IMG:http://antislaed.net/style_emoticons/default/smile.gif) (IMG:http://antislaed.net/style_emoticons/default/smile.gif) (IMG:http://antislaed.net/style_emoticons/default/smile.gif)

можно еще вот так:

КОД

if (!$i){
а тут код, который тебе нужен
}

а еще вместо всего вот этого:

КОД

$res = $db->sql_query("SELECT name FROM ".$prefix."_admins WHERE super='0' ORDER BY id");
while(list($name) = $db->sql_fetchrow($res)) {
if($user == $name){$i=1;}
}

есть простая функция is_admin_god()

тоесть применительно к твоему коду это будет так:
if(is_admin_god()) {
делаем то, что можно суперадмину
} else {
делаем то, что нельзя
}

Сообщение отредактировал vitalik1972: Mar 14 2011, 07:25

[rAmantiK]

if ($i == 1) = if (!$i)

просто я уже точно уверен, что в $i именно должно быть 1, а не любое содержание.

is_admin_god() и делаем то, что можно суперадмину

Проблема была не в суперадмине у которых super='1', а у админов с доступами к некоторым модулям у которых super='0'.
У суперадмина как раз таки все работало без проблем.


ЗЫ Для меня просто простой код = уверенность в его ПРАВИЛЬНОЙ работе.

Сообщение отредактировал rAmantiK: Mar 14 2011, 07:41

[vitalik1972]

еще есть функция is_admin()