Alan

fix [Fix Risus] Fuente de los BBCode


18 posts en este tema

Hola, como verán recientemente hay un usuario que anda molestando con un error en la fuente de los BBcodes. El error consiste básicamente en que dicho BBcode carece de verificación, entonces se podía ingresar algunos carácteres HTML y poner una fuente gigante lo que no permitía navegar por los posts y al cliquear llevaba a una página, no representa un error grave en sí, por lo que no hay que alarmarse ya que sus datos personales y de hosting están seguros. Sin embargo puede ser muy molesto, por lo que es muy recomendado instalar este fix.

 

Instalación automática: Para solucionarlo suban la carpeta INC que subí AQUÍ en la raíz de su sitio y reemplacen los archivos y ya estará solucionado el error. 

Instalación manual: Si han modificado los archivos, pueden optar por instalarlo manualmente:

 

  1. Abran el archivo bbcode.inc.php ubicado en /inc/ext/bbcode.inc.php y busquen (está en la línea 10):
require_once 'JBBCode/validators/ImgValidator.php';

  Y abajo coloquen:

require_once 'JBBCode/validators/FontValidator.php';

Busquen:

 

        $imgValidator = new \JBBCode\validators\ImgValidator();

Y debajo coloquen:

        $fontValidator = new \JBBCode\validators\FontValidator();

Busquen:

            array('tag' => 'font', 'replace' => '<span style="font-family: {option}">{param}</span>', 'option' => true),

Y lo reemplazan por:

            array('tag' => 'font', 'replace' => '<span style="font-family: {option}">{param}</span>', 'option' => true, 'validOption' => $fontValidator),

2.  Crear un archivo con nombre FontValidator.php dentro de /inc/ext/JBBcode/validators/ con el siguiente contenido:

 

<?php

namespace JBBCode\validators;

require_once dirname(dirname(__FILE__)) . DIRECTORY_SEPARATOR . 'InputValidator.php';

/**
 * Validador de fuentes para evitar kakeos
 *
 * @author Alan
 * @since Sep 2016
 */

class FontValidator implements \JBBCode\InputValidator {

    /**
     * Retorna true si $input es alfabético
     *
     * @param $input string a validar
     */
    public function validate($input) {
        return !!preg_match('/^[a-z0-9\s]+$/i', $input);
    }

}

Y ya debería funcionar, no digo que esto sea un fix oficial ya que lamentablemente ya no pertenezco al staff :( pero cuando Isidro lo vea podrá decidir que es lo que hace.

 

T9dXaMo.png

 

Saludos!

Editado por Rhuan
7

Compartir este post


Enlace al post
Compartir en otros sitios

ñee me superaste, recién lo acabo de hacer pero con regex... 

 

PD: ctype_alpha no soporta espacios, fuentes con nombres con espacios no van a funcionar.

1

Compartir este post


Enlace al post
Compartir en otros sitios

esta muy bien que se arreglen estos problemas pero no deberían atacarse entre ustedes mismos... estaban tan confiados que no existía ese problema que usted mismo escribió algo tipo "si bla bla bla entonces que hackee la demo" osea yo me quedé como ¿es en serio? no debe haber ese egocentrismo de creer que todo esta perfecto... yo me asuste cuando escribí un comentario en la demo con el codigo que dejaron y funciono!! entonces si algo tan simple se pasa por alto, que puedo pensar del núcleo?? que es mas complejo... tambien me di cuenta que muchos dejan opiniones muy buenas y se llevan negativos o advertencias solo por no estar de acuerdo con el otro.. solo por expresarse y eso tambien esta muy mal...

0

Compartir este post


Enlace al post
Compartir en otros sitios
hace 22 minutos, suggeidy dijo:

esta muy bien que se arreglen estos problemas pero no deberían atacarse entre ustedes mismos... estaban tan confiados que no existía ese problema que usted mismo escribió algo tipo "si bla bla bla entonces que hackee la demo" osea yo me quedé como ¿es en serio? no debe haber ese egocentrismo de creer que todo esta perfecto... yo me asuste cuando escribí un comentario en la demo con el codigo que dejaron y funciono!! entonces si algo tan simple se pasa por alto, que puedo pensar del núcleo?? que es mas complejo... tambien me di cuenta que muchos dejan opiniones muy buenas y se llevan negativos o advertencias solo por no estar de acuerdo con el otro.. solo por expresarse y eso tambien esta muy mal...

 

No es que seamos egocéntricos, pero es la verdad si tanto critican, que hackeen la demo y así sabremos que vulnerabilidad tiene, una web con muchos mods instalados nunca es de confiar, ademas no es que el script sea perfecto, nada lo es perfecto y el problema es que no sabemos de todas las posibles vulnerabilidades que puede llegar a tener el script y por eso se pide que se hackee la demo, para conocer que es lo que se tiene que arreglar, ¿te asustaste porque en la demo funciona el comentario?, que esperabas si hace menos de 50 minutos se publico el fix, ademas que eso no es hackear. 

 

Editado por ayuda031
1

Compartir este post


Enlace al post
Compartir en otros sitios
hace 4 minutos, KillerJohn dijo:

Genio Total! muchas gracias ;)

De nada! Hice una actualización en FontValidator.php, si ya lo instalaste reemplaza el archivo por lo que está en el post

hace 21 minutos, suggeidy dijo:

esta muy bien que se arreglen estos problemas pero no deberían atacarse entre ustedes mismos... estaban tan confiados que no existía ese problema que usted mismo escribió algo tipo "si bla bla bla entonces que hackee la demo" osea yo me quedé como ¿es en serio? no debe haber ese egocentrismo de creer que todo esta perfecto... yo me asuste cuando escribí un comentario en la demo con el codigo que dejaron y funciono!! entonces si algo tan simple se pasa por alto, que puedo pensar del núcleo?? que es mas complejo... tambien me di cuenta que muchos dejan opiniones muy buenas y se llevan negativos o advertencias solo por no estar de acuerdo con el otro.. solo por expresarse y eso tambien esta muy mal...

Hace casi 4 años que no me conectaba, no estoy muy al tanto de las modificaciones que han hecho ni tengo contacto con Isidro tampoco

 

hace 24 minutos, MagicInventor dijo:

ñee me superaste, recién lo acabo de hacer pero con regex... 

 

PD: ctype_alpha no soporta espacios, fuentes con nombres con espacios no van a funcionar.

Ni sabía que había fuentes con espacios, ya lo actualicé gg

hace 4 minutos, ayuda031 dijo:

 

No es que seamos egocéntricos, pero es la verdad si tanto critican, que hackeen la demo y así sabremos que vulnerabilidad tiene, una web con muchos mods instalados nunca es de confiar, ademas no es que el script sea perfecto, nada lo es perfecto y el problema es que no sabemos de todas las posibles vulnerabilidades que puede llegar a tener el script y por eso se pide que se hackee la demo, para conocer que es lo que se tiene que arreglar, ¿te asustaste porque en la demo funciona el comentario?, que esperabas si hace menos de 50 minutos se publico el fix, ademas que eso no es hackear. 

 

Exacto! Además de que cuando yo me fui todavía ni habían implementado ese sistema de JBBCode, recién ahora que descargué el script nuevamente pude ver que le han metido muchas cosas nuevas 

0

Compartir este post


Enlace al post
Compartir en otros sitios
hace 19 minutos, ayuda031 dijo:

 

¿te asustaste porque en la demo funciona el comentario?, que esperabas si hace menos de 50 minutos se publico el fix, ademas que eso no es hackear. 

 

yo no he dicho que es hackeo... yo dije que era un bug en mi comentario donde estaba el codigo, vez?? justo a esto me refería con egocentrismo... se creen mucho por saber un poco mas...  yo me registre ayer para aprender!! y ya me dan ganas de irme a otra parte... 

0

Compartir este post


Enlace al post
Compartir en otros sitios
hace 2 horas, suggeidy dijo:

esta muy bien que se arreglen estos problemas pero no deberían atacarse entre ustedes mismos... estaban tan confiados que no existía ese problema que usted mismo escribió algo tipo "si bla bla bla entonces que hackee la demo" osea yo me quedé como ¿es en serio? no debe haber ese egocentrismo de creer que todo esta perfecto... yo me asuste cuando escribí un comentario en la demo con el codigo que dejaron y funciono!! entonces si algo tan simple se pasa por alto, que puedo pensar del núcleo?? que es mas complejo... tambien me di cuenta que muchos dejan opiniones muy buenas y se llevan negativos o advertencias solo por no estar de acuerdo con el otro.. solo por expresarse y eso tambien esta muy mal...

Aquí nadie se ataca entre nadie... Es magic el que ataca a todos 

 

yao_ming_meme_by_lecatinga-d4kpe13.jpg

0

Compartir este post


Enlace al post
Compartir en otros sitios
hace 1 hora, suggeidy dijo:

yo no he dicho que es hackeo... yo dije que era un bug en mi comentario donde estaba el codigo, vez?? justo a esto me refería con egocentrismo... se creen mucho por saber un poco mas...  yo me registre ayer para aprender!! y ya me dan ganas de irme a otra parte... 

No creemos mas? nunca dije que nos creemos mas, quieren exigirle algo a un script que es gratuito y que sale a flote con la ayuda de la comunidad, solo digo que si el script es vulnerable no lo sabemos hasta que se lo pruebe.

Si quieres irte vete, que le puedo decir a alguien que prefiere tachar de egocéntrico a los demás y no tratar de ver las cosas del lado del otro, yo entiendo que tienes miedo a que alguien venga y hackee tu web, pero ninguna web esta libre de eso, a risus se le hace las actualizaciones de seguridad como es debido pero Isidro no es perfecto y siempre se le puede escapar algo y para eso está la comunidad, para detectar este tipos de errores y solucionarlo, y ahí viene la mano de que si hackeas la demo recién sabremos que problema tiene el script o si realmente el problema es del script, no decimos "hackea la demo" solo porque seamos egocéntricos, sino que se ha dado el caso de gente que daña su web a propósito solo para darle mala fama al script, o webs que se vuelven vulnerables por el exceso de modificaciones que tienen.... 

1

Compartir este post


Enlace al post
Compartir en otros sitios

Registra una cuenta o conéctate para comentar

Debes ser un miembro de la comunidad para dejar un comentario

Crear una cuenta

Regístrate en nuestra comunidad. ¡Es fácil!


Registrar una cuenta nueva

Iniciar Sesión

¿Ya tienes cuenta? Conéctate aquí.


Iniciar Sesión

  • Similar Content

    • Por Miguel92
      Bueno la pregunta es si tienen la sección de comunidades Temas eliminados y tambien quiero agregar Comunidades eliminadas y he agregado en la parte de Denuncias -> TEMAS  y COMUNIDADES que a estos 2 los agregue bien y funcionan...Como sabran nunca he descargado la actualización de las comunidades ni nada parecido, ya que no estaba conectado con internet lo hice todo manualmente, e incluido la instalación correspondiente que tenia cuando habia buscado hace tiempo y agregue más cosas que no las tenia...
      Tengo:
         templates/admin_mods/m.mod_report_temas.tpl
         templates/admin_mods/m.mod_report_comunidades.tpl
       
      Faltaria:
         templates/admin_mods/m.mod_papelera_temas.tpl
         templates/admin_mods/m.mod_papelera_comunidades.tpl
       
      y si hay que hacer o agregar algo más en inc/class/c.moderacion.php para que estos tengan efecto, los 2 verdes andan faltan que funcione los 2 rojo más los 2 ficheros para el directorio admin_mods
       
      La comunidad que tengo es entre el año 2014/5 creo, pero es viejo, igualmente funciona todo correctamente y tambien es casi 100% responsive + bootstrap para que no sea tan pesado y le voy a agregar un Mod de premios que se de desde la administración solamente tengo que encontrar algunos iconos o Icon Font para usar con este...
       
      En la sección de administración o el archivo m.admin_welcome.tpl he agregado un especie de mod en el que se puede decir que
      versión del theme + quien la creo
      versión de la comunidad + quien la creo/editor del mismo
      lo hice de la misma manera que cuando se instala una versión actualizada del Risus..
      cap

      en caso que no se vea

       
      Otra pregunta que no tiene que ver, pero quiero saber si hay topics y si tienen los enlaces...
      por que lo que quiero es hacer ej: Si es navidad va a ser otro logo, Si es san valentin sea otro logo
      Desde ya
      MUCHAS GRACIAS
      por tomarse el tiempo de verlo
       
       
    • Por ellocoloco
      Hola... me puse a ver nuevamente el script, como hago siempre... por momento me dan ganas de usarlo!!!! y despues entro al foro y veo lo muerto que esta y se me van las ganas... PERO BUENO!
       
      Ahora estoy con ganas asi que me puse a ver un error que nunca se soluciono y yo reporte hace mucho tiempo, y el error esta en que AL PONER EL MAXIMO DE NOTIFICACIONES QUE QUEREMOS MOSTRAR EN EL MONITOR DESDE LA ADMINISTRACION, estos valores no son tomados y se nos hace una lista interminable de notificaciones, "en su momento llegue a tener mas de 200" para solucionar esto hacemos lo siguiente...
       
      Abrimos inc/class/c.monitor.php y buscamos.
       
      // DATOS $sql = 'SELECT m.*, u.user_name AS usuario FROM u_monitor AS m LEFT JOIN u_miembros AS u ON m.obj_user = u.user_id WHERE m.user_id = \''.$tsUser->uid.'\' ORDER BY m.not_id DESC'; Remplazamos por:
      // DATOS $sql = 'SELECT m.*, u.user_name AS usuario FROM u_monitor AS m LEFT JOIN u_miembros AS u ON m.obj_user = u.user_id WHERE m.user_id = \''.$tsUser->uid.'\' ORDER BY m.not_id DESC LIMIT '.$tsCore->settings['c_max_nots'].''; Y listo con esto el monitor ya pondra la cantidad de notificaciones que nosotros pongamos desde la administracion.
       
      Terminando....
      El Fix fue aplicado en la ultima version del script, anque creo que funcionara para todas las versiones ya que es un error que viene hace rato....
      saludos y ojala el foro se ponga otra vez en movimiento
    • Por ellocoloco
      Isidro, no es mi intencion que sanciones a nadie, pero realmente quiero saber si esto es tan asi como dice este mensaje que cito de un usuario.
      Lo pregunto porque cada vez que pienso encarar un nuevo proyecto con phpost, leo algo como lo siguiente, y me hace pensar si de verdad vale la pena gastar tiempo y dinero en algo que de un dia para otro puedo perder todo porque alguien me hackee la pagina... entonces... que tanta verdad hay en este mensaje que cito a continuacion?
       
      Que frakaso que es esta web, el script todo en general es un tonto juego de unos malos programadores que no supieron y no saben como solucionar los problemas. No hay mas que decir, me parece genial lo que hace Magic por mas que sea una negrada y se nota que el tipo esta re al pedo hay que darse cuanta de que phpost ya no va mas. Ah y lo de la 2.0 me dan ganas de llorar de risa 
       
      es tan asi? tan malo es el script? tantas vulnerabilidades tiene? hablando de la ultima version disponible claro.
       
      saludos.
    • Por Rengo
      Después de tanto tiempo sin publicar nada, vi por ahí que buscaban esto y bueno lo adapte para que lo usen  
      No hay mucho que explicar para que sirve, muchos deben conocer SoundCloud y para los que no:


       
      Bueno pasamos a instalar:
      1. Vamos a inc\ext  y abrimos bbcode.inc y buscamos y agregamos una coma al final así: ), :
      array('tag' => 'success', 'replace' => '<div class="bbcmsg success">{param}</div>') y abajo agregamos:
      array('tag' => 'soundcloud', 'replace' => '<embed width="580" height="200" scrolling="no" frameborder="no" src="https://w.soundcloud.com/player/?url={param}&amp;auto_play=false&amp;hide_related=false&amp;show_comments=true&amp;show_user=true&amp;show_reposts=false&amp;visual=true"></iframe>') el ultimo no tiene que tener coma, si ya tienen otros bbcode miren bien lo de la coma y el final que no tenga.
       
      2. Abrimos c.core.php de inc\class y buscamos:
      'success' alado agregamos:
      , 'soundcloud' 3. Abrimos Estilo.css de themes\TuTheme y buscamos:
      .markItUp .markItUpButton17 a { background:transparent url('images/bbcodes.png') no-repeat scroll left top; background-position: left -256px; height: 10px; } y abajo agregamos:
      .markItUp .markItUpButton18 a { background:transparent url(http://i.imgur.com/pi8nlLg.png) no-repeat scroll left top; height: 10px; } 4. Abrimos acciones.js de themes\TuTheme\js y buscamos:
      lang['Upload'] = "Subir Im&aacute;genes"; abajo:
       
      lang['Insertar SoundCloud'] = "Insertar SoundCloud"; Buscamos:
      lang['Fuente'] = "Fuente"; abajo:
       
      lang['ingrese el id de soundcloud'] = "Ingrese el URL de SoundCloud:\n\nEjemplo:\nhttps://soundcloud.com/rockloveuru3/la-renga-la-razon-que-te"; Buscamos:
      {name:lang['Upload'], beforeInsert:function(h){ markit_upload(h); }}, y abajo:
       
      {name:lang['Insertar SoundCloud'], beforeInsert:function(h){ markit_soundcloud(h); }}, Buscamos:
      function markit_upload(h){ upload.newUpload(h); } y abajo:
      function markit_soundcloud(h){ if(h.selection==''){ var msg = prompt(lang['ingrese el id de soundcloud'+(is_ie?' IE':'')], lang['ingrese solo el id de soundcloud']); if(msg != null){ h.replaceWith = '[soundcloud]' + msg + '[/soundcloud]'; h.openWith = ''; h.closeWith = ''; }else{ h.replaceWith = ''; h.openWith = ''; h.closeWith = ''; } }else{ h.replaceWith = '[soundcloud]' + h.selection + '[/soundcloud]'; h.openWith=''; h.closeWith=''; } } Buscar:
      for(var i = 1; i <= 17 Cambiar ese 17 por 18, si tienes otros bbcode tiene que ir uno mas, es decir si ya tiene 18, tiene que ir 19 y así sucesivamente.
      y listo, eso seria todo, creo que no me olvide nada.
       
      El bbcode final quedaría:
      [soundcloud]https://soundcloud.com/rockloveuru3/la-renga-la-razon-que-te[/soundcloud]  
      Cualquier consultar, problema y queja (? dejen en comentarios..
      Hasta luego 
    • Por chacuacosg
      Que tal, hace unos dias instlate en mi sitio el Editor WYSIWYG de Tronlar para 1.2 y note que habia un error o bug al intentar comentar en un post el cual solo deja comentar si presionan el boton [/] del editor, depues hice lo que comentó omarb dejando el editor por defecto, afortunadamente me tope con un sitio diseñado por Kmario19 y note que en su theme no tenia el problema, revisando el codigo identifique estas lineas para resolver el error de los comentarios
       
      En el archivo: m.posts_comments_form.tpl (../themes/default/templates/modules) buscamos
      <div class="floatL"> <a class="boto gris floatL" onclick="comentario.nuevo('true')"><div class="btexto">Comentar</div></a> <a onclick="comentario.preview('body_comm','new')" class="boto gris" style="padding: 6px 8px;"><span class="i oji"></span></a> </div> y lo reemplazamos por:
      <div class="floatL"> <input type="button" onclick="comentario.nuevo('true')" class="mBtn btnOk" value="Enviar Comentario" tabindex="3" id="btnsComment"> <input type="button" onclick="comentario.preview('body_comm','new')" class="mBtn btnGreen" value="Vista Previa" tabindex="2" style="width:auto;"> </div> Si lo desean ya solo le dan estilo con CSS
       

       

       
      NOTA: El editor es el mismo que publico Tronlar aqui:
      yo solo modifique los iconos y re-ordene un poco
  • Navegando Recientemente   0 miembros

    No registered users viewing this page.