Alan

fix [Fix Risus] Fuente de los BBCode


18 posts en este tema

Hola, como verán recientemente hay un usuario que anda molestando con un error en la fuente de los BBcodes. El error consiste básicamente en que dicho BBcode carece de verificación, entonces se podía ingresar algunos carácteres HTML y poner una fuente gigante lo que no permitía navegar por los posts y al cliquear llevaba a una página, no representa un error grave en sí, por lo que no hay que alarmarse ya que sus datos personales y de hosting están seguros. Sin embargo puede ser muy molesto, por lo que es muy recomendado instalar este fix.

 

Instalación automática: Para solucionarlo suban la carpeta INC que subí AQUÍ en la raíz de su sitio y reemplacen los archivos y ya estará solucionado el error. 

Instalación manual: Si han modificado los archivos, pueden optar por instalarlo manualmente:

 

  1. Abran el archivo bbcode.inc.php ubicado en /inc/ext/bbcode.inc.php y busquen (está en la línea 10):
require_once 'JBBCode/validators/ImgValidator.php';

  Y abajo coloquen:

require_once 'JBBCode/validators/FontValidator.php';

Busquen:

 

        $imgValidator = new \JBBCode\validators\ImgValidator();

Y debajo coloquen:

        $fontValidator = new \JBBCode\validators\FontValidator();

Busquen:

            array('tag' => 'font', 'replace' => '<span style="font-family: {option}">{param}</span>', 'option' => true),

Y lo reemplazan por:

            array('tag' => 'font', 'replace' => '<span style="font-family: {option}">{param}</span>', 'option' => true, 'validOption' => $fontValidator),

2.  Crear un archivo con nombre FontValidator.php dentro de /inc/ext/JBBcode/validators/ con el siguiente contenido:

 

<?php

namespace JBBCode\validators;

require_once dirname(dirname(__FILE__)) . DIRECTORY_SEPARATOR . 'InputValidator.php';

/**
 * Validador de fuentes para evitar kakeos
 *
 * @author Alan
 * @since Sep 2016
 */

class FontValidator implements \JBBCode\InputValidator {

    /**
     * Retorna true si $input es alfabético
     *
     * @param $input string a validar
     */
    public function validate($input) {
        return !!preg_match('/^[a-z0-9\s]+$/i', $input);
    }

}

Y ya debería funcionar, no digo que esto sea un fix oficial ya que lamentablemente ya no pertenezco al staff :( pero cuando Isidro lo vea podrá decidir que es lo que hace.

 

T9dXaMo.png

 

Saludos!

Editado por Rhuan
A 7 personas le gusta esto

Compartir este post


Enlace al post
Compartir en otros sitios

ñee me superaste, recién lo acabo de hacer pero con regex... 

 

PD: ctype_alpha no soporta espacios, fuentes con nombres con espacios no van a funcionar.

A 1 persona le gusta esto

Compartir este post


Enlace al post
Compartir en otros sitios

esta muy bien que se arreglen estos problemas pero no deberían atacarse entre ustedes mismos... estaban tan confiados que no existía ese problema que usted mismo escribió algo tipo "si bla bla bla entonces que hackee la demo" osea yo me quedé como ¿es en serio? no debe haber ese egocentrismo de creer que todo esta perfecto... yo me asuste cuando escribí un comentario en la demo con el codigo que dejaron y funciono!! entonces si algo tan simple se pasa por alto, que puedo pensar del núcleo?? que es mas complejo... tambien me di cuenta que muchos dejan opiniones muy buenas y se llevan negativos o advertencias solo por no estar de acuerdo con el otro.. solo por expresarse y eso tambien esta muy mal...

Compartir este post


Enlace al post
Compartir en otros sitios
hace 22 minutos, suggeidy dijo:

esta muy bien que se arreglen estos problemas pero no deberían atacarse entre ustedes mismos... estaban tan confiados que no existía ese problema que usted mismo escribió algo tipo "si bla bla bla entonces que hackee la demo" osea yo me quedé como ¿es en serio? no debe haber ese egocentrismo de creer que todo esta perfecto... yo me asuste cuando escribí un comentario en la demo con el codigo que dejaron y funciono!! entonces si algo tan simple se pasa por alto, que puedo pensar del núcleo?? que es mas complejo... tambien me di cuenta que muchos dejan opiniones muy buenas y se llevan negativos o advertencias solo por no estar de acuerdo con el otro.. solo por expresarse y eso tambien esta muy mal...

 

No es que seamos egocéntricos, pero es la verdad si tanto critican, que hackeen la demo y así sabremos que vulnerabilidad tiene, una web con muchos mods instalados nunca es de confiar, ademas no es que el script sea perfecto, nada lo es perfecto y el problema es que no sabemos de todas las posibles vulnerabilidades que puede llegar a tener el script y por eso se pide que se hackee la demo, para conocer que es lo que se tiene que arreglar, ¿te asustaste porque en la demo funciona el comentario?, que esperabas si hace menos de 50 minutos se publico el fix, ademas que eso no es hackear. 

 

Editado por ayuda031
A 1 persona le gusta esto

Compartir este post


Enlace al post
Compartir en otros sitios
hace 4 minutos, KillerJohn dijo:

Genio Total! muchas gracias ;)

De nada! Hice una actualización en FontValidator.php, si ya lo instalaste reemplaza el archivo por lo que está en el post

hace 21 minutos, suggeidy dijo:

esta muy bien que se arreglen estos problemas pero no deberían atacarse entre ustedes mismos... estaban tan confiados que no existía ese problema que usted mismo escribió algo tipo "si bla bla bla entonces que hackee la demo" osea yo me quedé como ¿es en serio? no debe haber ese egocentrismo de creer que todo esta perfecto... yo me asuste cuando escribí un comentario en la demo con el codigo que dejaron y funciono!! entonces si algo tan simple se pasa por alto, que puedo pensar del núcleo?? que es mas complejo... tambien me di cuenta que muchos dejan opiniones muy buenas y se llevan negativos o advertencias solo por no estar de acuerdo con el otro.. solo por expresarse y eso tambien esta muy mal...

Hace casi 4 años que no me conectaba, no estoy muy al tanto de las modificaciones que han hecho ni tengo contacto con Isidro tampoco

 

hace 24 minutos, MagicInventor dijo:

ñee me superaste, recién lo acabo de hacer pero con regex... 

 

PD: ctype_alpha no soporta espacios, fuentes con nombres con espacios no van a funcionar.

Ni sabía que había fuentes con espacios, ya lo actualicé gg

hace 4 minutos, ayuda031 dijo:

 

No es que seamos egocéntricos, pero es la verdad si tanto critican, que hackeen la demo y así sabremos que vulnerabilidad tiene, una web con muchos mods instalados nunca es de confiar, ademas no es que el script sea perfecto, nada lo es perfecto y el problema es que no sabemos de todas las posibles vulnerabilidades que puede llegar a tener el script y por eso se pide que se hackee la demo, para conocer que es lo que se tiene que arreglar, ¿te asustaste porque en la demo funciona el comentario?, que esperabas si hace menos de 50 minutos se publico el fix, ademas que eso no es hackear. 

 

Exacto! Además de que cuando yo me fui todavía ni habían implementado ese sistema de JBBCode, recién ahora que descargué el script nuevamente pude ver que le han metido muchas cosas nuevas 

Compartir este post


Enlace al post
Compartir en otros sitios
hace 19 minutos, ayuda031 dijo:

 

¿te asustaste porque en la demo funciona el comentario?, que esperabas si hace menos de 50 minutos se publico el fix, ademas que eso no es hackear. 

 

yo no he dicho que es hackeo... yo dije que era un bug en mi comentario donde estaba el codigo, vez?? justo a esto me refería con egocentrismo... se creen mucho por saber un poco mas...  yo me registre ayer para aprender!! y ya me dan ganas de irme a otra parte... 

Compartir este post


Enlace al post
Compartir en otros sitios
hace 2 horas, suggeidy dijo:

esta muy bien que se arreglen estos problemas pero no deberían atacarse entre ustedes mismos... estaban tan confiados que no existía ese problema que usted mismo escribió algo tipo "si bla bla bla entonces que hackee la demo" osea yo me quedé como ¿es en serio? no debe haber ese egocentrismo de creer que todo esta perfecto... yo me asuste cuando escribí un comentario en la demo con el codigo que dejaron y funciono!! entonces si algo tan simple se pasa por alto, que puedo pensar del núcleo?? que es mas complejo... tambien me di cuenta que muchos dejan opiniones muy buenas y se llevan negativos o advertencias solo por no estar de acuerdo con el otro.. solo por expresarse y eso tambien esta muy mal...

Aquí nadie se ataca entre nadie... Es magic el que ataca a todos 

 

yao_ming_meme_by_lecatinga-d4kpe13.jpg

Compartir este post


Enlace al post
Compartir en otros sitios
hace 1 hora, suggeidy dijo:

yo no he dicho que es hackeo... yo dije que era un bug en mi comentario donde estaba el codigo, vez?? justo a esto me refería con egocentrismo... se creen mucho por saber un poco mas...  yo me registre ayer para aprender!! y ya me dan ganas de irme a otra parte... 

No creemos mas? nunca dije que nos creemos mas, quieren exigirle algo a un script que es gratuito y que sale a flote con la ayuda de la comunidad, solo digo que si el script es vulnerable no lo sabemos hasta que se lo pruebe.

Si quieres irte vete, que le puedo decir a alguien que prefiere tachar de egocéntrico a los demás y no tratar de ver las cosas del lado del otro, yo entiendo que tienes miedo a que alguien venga y hackee tu web, pero ninguna web esta libre de eso, a risus se le hace las actualizaciones de seguridad como es debido pero Isidro no es perfecto y siempre se le puede escapar algo y para eso está la comunidad, para detectar este tipos de errores y solucionarlo, y ahí viene la mano de que si hackeas la demo recién sabremos que problema tiene el script o si realmente el problema es del script, no decimos "hackea la demo" solo porque seamos egocéntricos, sino que se ha dado el caso de gente que daña su web a propósito solo para darle mala fama al script, o webs que se vuelven vulnerables por el exceso de modificaciones que tienen.... 

A 1 persona le gusta esto

Compartir este post


Enlace al post
Compartir en otros sitios

Registra una cuenta o conéctate para comentar

Debes ser un miembro de la comunidad para dejar un comentario

Crear una cuenta

Regístrate en nuestra comunidad. ¡Es fácil!


Registrar una cuenta nueva

Iniciar Sesión

¿Ya tienes cuenta? Conéctate aquí.


Iniciar Sesión

  • Similar Content

    • Por HiIamConfiD3
      http://www.vellenger.com/posts/complementos/33/Fuente-de-Informacion-Multiple-V5.html
       
       
      Bueno vengo a comentarles del siguiente fix, lo que pasa es que si tenes activada la opcion para revisar los posts despues de su publicacion el MOD tira error en la consulta, lo que deben modificar es lo siguiente:
       
      if(db_exec(array(__FILE__, __LINE__), 'query', 'INSERT INTO `p_posts` (post_user, post_category, post_title, post_body, post_date, post_tags, post_ip, post_private, post_block_comments, post_sponsored, post_sticky, post_smileys, post_visitantes, post_status) VALUES (\''.$tsUser->uid.'\', \''.(int)$postData['category'].'\', \''.$postData['title'].'\', \''.$postData['body'].'\', \''.$postData['date'].'\', \''.$postData['tags'].'\', \''.$_SERVER['REMOTE_ADDR'].'\', \''.(int)$postData['private'].'\', \''.(int)$postData['block_comments'].'\', \''.(int)$postData['sponsored'].'\', \''.(int)$postData['sticky'].'\', \''.(int)$postData['smileys'].'\', \''.(int)$postData['visitantes'].'\', '.(!$tsUser->is_admod && ($tsCore->settings['c_desapprove_post'] == 1 || $tsUser->permisos['gorpap'] == true) ? '\'3\'' : '\'0\'').')')) { $postID = db_exec('insert_id'); En esta linea que esta mas o menos en la 143, 144 por ahi ahahah
       
      (post_user, post_category, post_title, post_body, post_date, post_tags, post_ip, post_private, post_block_comments, post_sponsored, post_sticky, post_smileys, post_visitantes, post_status, post_fuenteon, post_fuente1, post_fuente2, post_fuente3, post_fuente4, post_fuente5) VALUES (\''.$tsUser->uid.'\', \''.(int)$postData['category'].'\', \''.$postData['title'].'\', \''.$postData['body'].'\', \''.$postData['date'].'\', \''.$postData['tags'].'\', \''.$_SERVER['REMOTE_ADDR'].'\', \''.(int)$postData['private'].'\', \''.(int)$postData['block_comments'].'\', \''.(int)$postData['sponsored'].'\', \''.(int)$postData['sticky'].'\', \''.(int)$postData['smileys'].'\', \''.(int)$postData['visitantes'].'\', '.(!$tsUser->is_admod && ($tsCore->settings['c_desapprove_post'] == 1 || $tsUser->permisos['gorpap'] == true) ? '\'3\'' : '\'0\', \''.(int)$postData['fuenteon'].'\', \''.$postData['fuente1'].'\', \''.$postData['fuente2'].'\', \''.$postData['fuente3'].'\', \''.$postData['fuente4'].'\', \''.$postData['fuente5'].'\'').')')) { $postID = mysql_insert_id(); No lo reemplazen por esto!
       
      ----------------------------------------------------
       
      Agregar despues de post_visitantes,
       
      post_fuenteon, post_fuente1, post_fuente2, post_fuente3, post_fuente4, post_fuente5,  
      ----------------------------------------------------
       
      Luego de:
      , \''.(int)$postData['visitantes'].'\', Agregar:
       
      \''.(int)$postData['fuenteon'].'\', \''.$postData['fuente1'].'\', \''.$postData['fuente2'].'\', \''.$postData['fuente3'].'\', \''.$postData['fuente4'].'\', \''.$postData['fuente5'].'\',  
      Eso seria todo!
      Gracias a @Vellenger por el aporte de este grande MOD, todavia estoy viendo para obtener el titulo de la URL y que lo muestre en el post, y no mostrarme la URL como link porque queda medio feo... Si alguien sabe como implementarlo y me pudiera ayudar seria genial!  En el foro esta, pero para implementarlo solo para una URL y lo quiero para las 5 fuentes, no solo para 1.
    • Por pablo2k
      Hola gente, queria preguntar si algun fix para la secion fotos? por que el hosting http://content.pimp-my-profile.com funciona mal y quisiera cambiarlo por uno que ande.. 
       
      desde ya muchas gracias por su atencion
    • Por Sebastian1989
      como puedo utilizar bbcode de phpost en mi proyecto web que es un foro
    • Por KillerJohn
      Hola! vengo con otra duda  
      Resulta que quiero restringir el uso de .SWF en mi web (en forma global) pero sin  que esto afecte el embed de los videos de YouTube.
      Hasta ahora solo pude hacerlo a medias, desde ''CENSURA'' en administracion,  [ censura parcial >>>>  .swf  (antes .swf despues archivo_no_valido)]
      Pero.... no ha sido suficiente porque si  agregan el video swf en shouts ([swf=URL.swf]) ,si lo censura pero ya entrando al shout en particular se ve el video swf  perfectamente.ahi la censura no hace efecto....  Alguna idea?  
      Agradecería cualquier idea,saludos!
       
      PD.: http://www.killeringa.org/     V5
       
       
    • Por Dany
      Hola a todo el foro me gustaria una ayuda de los master estoy creando un proyecto nuevo y me gusto el tema de Taringa v6 pero tienes varios bug me puede ayudar a repararlos seria bien acomodar ese tema para compartirlo aqui en el foro.
       
      Sin mas nada que decir aqui les dejo mi web: http://apkstores.ml/ asi pueden ver los bug y tratar de ayudarme un poco gracias 
       
  • Navegando Recientemente   0 miembros

    No registered users viewing this page.