Версия 2.4.2
Суть в следующем: при установке админом нужных значений в "Поля профиля / контактная информация / телефоны (и один и другой)" возникает следующая затыка. Если указать, что данное поле необязательно для заполнения, юзер может ввести в это поле нужное ему количество знаков (может и не вносить). Но если придет "специально обученный" юзер и введет, например, 1 миллион знаков? не упадет ли система?
Если при указании этого поля как необязательного, ввести ограничения на минимум / максимум вводимых символов, то это поле автоматом становится обязательным для заполнения юзером, даже если отсутствует звездочка! Не заполнит - выскочит ошибка при сохранении о некорректном заполнении поля "телефон такой-то".
Я не хочу указывать эти поля (телефоны) как обязательные - это неудобство для пользователей, но видимо придется, иначе никак не защититься от уязвимости.
Попробовал при необязательном поле телефонов ввести (юзером) штук 30 произвольных знаков - все замечательно отразились в поле "обо мне" в профиле юзера. По понятным причинам я не стал ставить эксперимент с миллионом знаков, но может после очередного бекапа попробую, или в гости к кому-нибудь схожу, посмотрю у кого поле "телефон" не отмечено звездочкой...
В общем, за всем этим, кроется большая неприятность, имхо. Хотелось бы услышать комментарии знающих, а может и подсказку, где и как это исправить.
Остальные поля пока не тестил, но может где еще и выскачет подобное. Есть ли такое в других версиях тоже не знаю - начал юзать компонент с 2.4.2.
Жду советов. !
12.02.2013, 13:44:22