Не фильтрование символов WordPress с плагином AJAX Comments

13.10.2009 16:13

Я в шоке, уважаемая редакция. Только что заметил, что мой WordPress и/или плагин AJAX Comments не фильтровал спец символы и у меня вполне получилось протолкать тег в комментариях.

1
<script></script>


Рекомендую проверить Ваш блог, если вы не уверены в том, что у Вас не сработает такая вещь.
Для проверки просто попробуйте написать комментарий например такого содержания:

1
<script>alert('Ыч');</script>

и обновить страницу.
Если вдруг после загрузки выскочит стандартное окошко с сообщением «Ыч»:

ych

то Вам катастрофически необходимо в корне сайта найти файл wp-comments-post.php и в нем после строк:

37
38
39
40
$comment_author       = ( isset($_POST['author']) )  ? trim(strip_tags($_POST['author'])) : null;
$comment_author_email = ( isset($_POST['email']) )   ? trim($_POST['email']) : null;
$comment_author_url   = ( isset($_POST['url']) )     ? trim($_POST['url']) : null;
$comment_content      = ( isset($_POST['comment']) ) ? trim($_POST['comment']) : null;

добавить вот такие:

41
42
43
44
$comment_content = htmlspecialchars($comment_content);
$comment_author_url = htmlspecialchars($comment_author_url);
$comment_author_email = htmlspecialchars($comment_author_email);
$comment_author = htmlspecialchars($comment_author);

Метки: , , , , ,


Оставить камент