Новости Joomla

Управление очередностью плагинов в Joomla 5 с помощью приоритетов обработки событийДля...

Управление очередностью плагинов в Joomla 5 с помощью приоритетов обработки событийДля разработчиков Joomla предоставляет 7 уровней приоритета выполнения плагинов. По умолчанию большинство плагинов запускаются с приоритетом NORMAL. Если вы как разработчик хотите дать возможность своим пользователям устанавливать порядок выполнения плагинов не только с помощью перетаскивания их мышкой в админке в рамках одной группы, но и с помощью параметра, то вам окажется полезной эта заметка.Автор - участник нашего сообщества Виталий Некрасов (@vitalik_a).Читать на Joomlaportal#joomla #разработка #php 👩‍💻 Если у вас есть интересные и полезные материалы о Joomla - присылайте админам сообщества. Разместим, тегнем, дадим ссылку.

Рендер пользовательского поля внутри другого пользовательского поля. Joomla 5.3

Писал ранее о том, как внутри одного пользовательского поля рендерить другое пользовательское поле. Применил для этого возможность Joomla обращаться к методам плагинов напрямую. Процитирую строчку кода из предыдущего поста:

<?php
$joomlaFieldContentPlugn->onContentPrepare('com_content.article', $fakeItem, $app->getParams());

Joomla постепенно переходит от простого указания аргументов для триггеров плагинов к собственным классам событий. Это позволяет не запоминать порядок передачи аргументов класса и использовать человекопонятные методы $event->getContext(), $event->getItem() и т.д. А то в одном месте в Joomla было $article, в другом - $item, в третьем ещё как-то... Порядку больше становится.

Сегодня обновил сайт клиентов до Joomla 5.3. В ней обновили контент-плагин fields и мой финт ушами с вызовом метода плагина отвалился потому, что я передавал в нём 3 аргумента, вместо одного. И для события onContentPrepare это должен быть объект класса ContentPrepareEvent. Как меняется фрагмент кода из предыдущего поста:

<?php
// мы находимся в файле макета поля

use Joomla\CMS\Event\Content\ContentPrepareEvent;
use Joomla\CMS\Factory;

$app = Factory::getApplication();
$fakeItem = new \stdClass();
// Получаем id текущего материала из объекта Input
$fakeItem->id = $app->getInput()->getInt('id');
// {field 29} - это шорт код вставки поля с id 29 - "ассортимент проекта"
// к содержимому поля конкатенируем шорт-код для обработки
$fakeItem->text = $field->value . '{field 29}';
// Получаем объект плагина
$joomlaFieldContentPlugn = $app->bootPLugin('fields', 'content');
// вызываем метод обработки напрямую
// вместо 3-х аргументов теперь указываем один
// это объект класса ContentPrepareEvent
$joomlaFieldContentPlugn->onContentPrepare(new ContentPrepareEvent('onContentPrepare', [
            'context' => 'com_content.article',
            'subject' => $fakeItem,
            'params'  => $app->getParams(),
            'page'    => 0,
        ]));
// выводим оба поля
echo $fakeItem->text;

@webtolkru 

Вышел релиз Joomla 5.3.0

Вышел релиз Joomla 5.3.0

Проект Joomla с радостью объявляет о выходе Joomla 5.3 — последней минорной версии в серии Joomla 5.

Этот релиз сосредоточен на продуманных улучшениях, которые совершенствуют работу с CMS. От лучшей организации файлов и журналирования задач до расширенной обработки электронной почты и улучшенной доступности — Joomla 5.3 помогает администраторам и разработчикам работать более эффективно, сохраняя ваш сайт современным, безопасным и готовым к будущему.

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 2 Ответов
  • 2664 Просмотров

XSS и sql injection, Full path disclosure
« : 01.08.2007, 15:27:18 »
инфа отсюда http://securityvulns.ru/Rdocument647.html

Превые 2 проблемы решение здесь http://putnik.net.ua/index.php/comps/web/2007/08/01/joomla-ispravlyaem-uyazvimost/
последнее, увы, не знаю, но оно не столь опасное.

Записан
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Re: XSS и sql injection, Full path disclosure
« Ответ #1 : 01.08.2007, 15:34:05 »
Ну во-первых, в pollwindow.php указанный XSS с параметром pollid не пройдет никогда (на версии 1.0.12 точно, младше лениво смотреть), потому что в перед вставкой в запрос у параметра есть приведение типа:

$query "SELECT title"
"\n FROM #__polls"
"\n WHERE id = " . (int) $pollid
;

Что же касается с использованием параметра t, да, в принципе скрипт вставить можно, обходится просто заменой:

$css mosGetParam$_REQUEST't''' );

на

$css htmlspecialchars(mosGetParam$_REQUEST‘t’” ), ENT_QUOTES);
Записан

Re: XSS и sql injection, Full path disclosure
« Ответ #2 : 01.08.2007, 16:35:43 »
Цитата: smart от 01.08.2007, 15:34:05
. "\n WHERE id = " . (int) $pollid
Это да, просмотрел.  Кстати, может поэтому эксплоит и не сработал. Просто перестраховка, возможно лишняя.
Цитировать
Что же касается с использованием параметра t, да, в принципе скрипт вставить можно, обходится просто заменой:
именно это и рекомендовал.

зы: в том каталоге неплохо бы и по остальным файлам также пройтись...

ззы: intval все же предпочтительней (хоть и не в данном случае), т.к. если бы переменная использовалась в нескольких местах, (int) отфильтровал бы только в одном, а intval для всего кода в целом.
« Последнее редактирование: 03.08.2007, 11:43:04 от Путник »
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

sql injection for Joomla 3.7

Автор winstrool

 Ответов: 5
Просмотров: 2598 		Последний ответ 22.05.2017, 21:49:11
от Septdir
SQL injection, пара вопросов

Автор kik84

 Ответов: 7
Просмотров: 1241 		Последний ответ 30.10.2015, 21:01:33
от flyingspook