Необходима помощь в функциях РНР

djodofin написал(а):
Зачем тогда высказывания что "для этого есть плагин"? Если ты имел в виду стандартный плагин "Пользовательские поля" то в нем я все сделал и мультиязычность прекрасно работает... А здесь я прошу помощи аналогичного решения с Custom field enhancer плагином!
Нажмите для раскрытия...
Тогда тебе надо тоже самое закодить в самом плагине + сделать перевод в самом плагине...???....
 
Эмм-м-м. А что в логах никто не додумался спросить?
 
Привет. Нужна помощь. Вроде по XSS угрозе. 15 строка. код:

  1. <? include('checkcookie.php'); ?>
  2. <h3>Список забаненных пользователей</h3>
  3. <br>
  4. <?
  5. if (isset($_GET["id"]))
  6. {
  7. $id=$_GET["id"];
  8. $option=$_GET["option"];

  10. if ($option=="delete")
  11. {
  12. $user=$_POST["user"];
  13. $queryz = "DELETE FROM tb_chatban WHERE id='".mysql_real_escape_string($id)."'";
  14. mysql_query($queryz) or die(mysql_error());
  15. echo "<font color=\"#dd0000\"><b>Бан с пользователя $user снят.</b></font><br><br>";
  16. }
  17. }
  18. ?>

  20. <table class="adn">
  21. <tr class="lineb">
  22. <td>Имя пользователя</td>
  23. <td>Причина бана</td>
  24. <td>&nbsp;</td>
  25. </tr>
  26. <?
  27. $res = mysql_query("SELECT * FROM tb_chatban ORDER BY id ASC");
  28. while ($row = mysql_fetch_array($res)) {

  30. echo "
  31. <tr class='liney ell'>
  32. <td align=center>". $row["user"] ."</td>
  33. <td>". $row["reason"] ."</td>
  34. <td align=center>";
  35. ?>
  36. <form method="post" action="adminmain.php?p=chatban&id=<?=$row["id"] ?>&option=delete">
  37. <input type="hidden" value="<?=$row["user"] ?>" name="user">
  38. <input type="submit" value="Снять бан" class="button">
  39. </form>
  40. </td>
  41. </tr>

  43. <?

  45. }

  47. ?>
  48. </table>
Насколько знаю цвета так не пишутся. Я про знак \
 
LAPD1 написал(а):
Привет. Нужна помощь. Вроде по XSS угрозе. 15 строка. код:

  1. <? include('checkcookie.php'); ?>
  2. <h3>Список забаненных пользователей</h3>
  3. <br>
  4. <?
  5. if (isset($_GET["id"]))
  6. {
  7. $id=$_GET["id"];
  8. $option=$_GET["option"];

  10. if ($option=="delete")
  11. {
  12. $user=$_POST["user"];
  13. $queryz = "DELETE FROM tb_chatban WHERE id='".mysql_real_escape_string($id)."'";
  14. mysql_query($queryz) or die(mysql_error());
  15. echo "<font color=\"#dd0000\"><b>Бан с пользователя $user снят.</b></font><br><br>";
  16. }
  17. }
  18. ?>

  20. <table class="adn">
  21. <tr class="lineb">
  22. <td>Имя пользователя</td>
  23. <td>Причина бана</td>
  24. <td>&nbsp;</td>
  25. </tr>
  26. <?
  27. $res = mysql_query("SELECT * FROM tb_chatban ORDER BY id ASC");
  28. while ($row = mysql_fetch_array($res)) {

  30. echo "
  31. <tr class='liney ell'>
  32. <td align=center>". $row["user"] ."</td>
  33. <td>". $row["reason"] ."</td>
  34. <td align=center>";
  35. ?>
  36. <form method="post" action="adminmain.php?p=chatban&id=<?=$row["id"] ?>&option=delete">
  37. <input type="hidden" value="<?=$row["user"] ?>" name="user">
  38. <input type="submit" value="Снять бан" class="button">
  39. </form>
  40. </td>
  41. </tr>

  43. <?

  45. }

  47. ?>
  48. </table>
Насколько знаю цвета так не пишутся. Я про знак \
Нажмите для раскрытия...
Знак \ это обычное экранирование кавычек. В данном случае все верно!
Можете сделать так
PHP: 
echo '<font color='."#dd0000".'><b>Бан с пользователя '.$user.' снят.</b></font><br><br>';
Сути не поменяется...
 
djodofin написал(а):
Необходима помощь знающих людей в функциях РНР...
Есть правильное решение изменения функции РНР кода!
Ниже ПРАВИЛЬНОЕ РЕШЕНИЕ...
.$option.
Нажмите для раскрытия...

Сначала прочитал и подумал, ну наверное спешил человек просто, хотел побыстрее запилить. Еще раз прочитал, потом еще раз. Потом прочитал остальные сообщения.
Все равно ничего не понял. Начал было еще раз читать, посмотрел на красоту оформления и ясность мысли и тут терпение кончилось.
Качество написания поста с вопросом не соответствуют его сложности.
Перепиши по-человечески, напиши контекст, напиши подробности. Сейчас опять вопрос перечитал, :at:
Тогда кто-то может ответит. А так только засоряешь эфир. :pop:
 
LAPD1 написал(а):
Привет. Нужна помощь. Вроде по XSS угрозе. 15 строка. код:

  1. <? include('checkcookie.php'); ?>
  2. <h3>Список забаненных пользователей</h3>
  3. <br>
  4. <?
  5. if (isset($_GET["id"]))
  6. {
  7. $id=$_GET["id"];
  8. $option=$_GET["option"];

  10. if ($option=="delete")
  11. {
  12. $user=$_POST["user"];
  13. $queryz = "DELETE FROM tb_chatban WHERE id='".mysql_real_escape_string($id)."'";
  14. mysql_query($queryz) or die(mysql_error());
  15. echo "<font color=\"#dd0000\"><b>Бан с пользователя $user снят.</b></font><br><br>";
  16. }
  17. }
  18. ?>

  20. <table class="adn">
  21. <tr class="lineb">
  22. <td>Имя пользователя</td>
  23. <td>Причина бана</td>
  24. <td>&nbsp;</td>
  25. </tr>
  26. <?
  27. $res = mysql_query("SELECT * FROM tb_chatban ORDER BY id ASC");
  28. while ($row = mysql_fetch_array($res)) {

  30. echo "
  31. <tr class='liney ell'>
  32. <td align=center>". $row["user"] ."</td>
  33. <td>". $row["reason"] ."</td>
  34. <td align=center>";
  35. ?>
  36. <form method="post" action="adminmain.php?p=chatban&id=<?=$row["id"] ?>&option=delete">
  37. <input type="hidden" value="<?=$row["user"] ?>" name="user">
  38. <input type="submit" value="Снять бан" class="button">
  39. </form>
  40. </td>
  41. </tr>

  43. <?

  45. }

  47. ?>
  48. </table>
Насколько знаю цвета так не пишутся. Я про знак \
Нажмите для раскрытия...
Там дело в переменной $user. Она никак не фильтруется, и можно в пост запросе в этой переменной передать яваскрипт, который у вас успешно выведется на странице.
 
с цветами все в порядке, переменные из _POST надо фильтровать хотя бы так:
PHP: 
$user=htmlspecialchars($_POST["user"]);
 
Подскажет кто, сильные ли проблемы на Php с кодировкой cp1251?
 
У php нет проблем с кодировкой cp1251
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху