Новости Joomla

Вышли релизы безопасности Joomla 6.1.1 и Joomla 5.4.6

Релиз безопасности Joomla 6.1.1 и Joomla 5.4.6

Проект Joomla! рад сообщить о выходе Joomla 6.1.1 и Joomla 5.4.6. Это релизы безопасности и исправления ошибок для серий 5.x и 6.x.

👩‍💻 JoomShopping: Самый полный курс по созданию интернет-магазина на CMS Joomla.

👩‍💻 JoomShopping: Самый полный курс по созданию интернет-магазина на CMS Joomla.

В открытый доступ выложен видео-курс Дмитрия Гончарова по созданию интернет-магазина на связке Joomla + JoomShopping. Видеоуроки содержат пошаговые инструкции от регистрации хостинга до особенностей вёрстки, настройки способов оплаты и доставки.

В видео фигурирует JoomShopping 4 и Joomla 3, однако JoomShopping довольно консервативный компонент и многие способы и подходы в нём не менялись годами, поэтому данные видео могут быть по прежнему полезны.

Смотреть видео-курс

@joomlafeed

👩‍💻 SM WT CDEK аддон доставки для JoomShopping.

👩‍💻 SM WT CDEK аддон доставки для JoomShopping.

Способ доставки для интернет-магазина JoomShopping. Работает с API CDEK v.2. Считает стоимость доставки, позволяет выбрать пункт выдачи заказа CDEK на карте, отображает полную информацию о ПВЗ в заказе. Для работы аддона необходимо установить и настроить библиотеку WT CDEK.

👉 v.1.3.4. Что нового?
- Скидки на доставку. Добавлены настройки скидок на доставку в зависимости от суммы заказа. Также можно выбрать какую цену использовать: до применения купона или после.
- Фиксированная наценка. Добавлено поле для фиксированной наценки на доставку в интерфейс цены на доставку.
- Локализация. Сделаны файлы локализации. Русский и английский языки.
- Рефакторинг и чистка кода. Приблизили код к стандартам.

Страница расширения

@joomlafeed

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 2 Ответов
  • 2358 Просмотров
*

nikonor

  • Давно я тут
  • 513
  • 56 / 0
  • Content Grabber
Получение данных от пользователя. Безопасно?
« : 26.11.2009, 12:14:46 »
Пользователь на frontend вводит произвольную информацию в textarea через wysiwyg editor
Не вдаваясь в подробности получаем данные вот так
Код
$postData            = JRequest::getVar( 'field' . $data['id'] , '' , 'POST', '', JREQUEST_ALLOWRAW );
интересует насколько это безопасно? каких гадостей можно ждать?
Записан
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Re: Получение данных от пользователя. Безопасно?
« Ответ #1 : 26.11.2009, 12:38:15 »
Если далее данные вставляются, используя объекты-наследники JTable, то на этом этапе все безопасно, если напрямую запросами - нужно учесть возможность sql-injection. А вот при отображении этого куска текста возникает опасность выполнения в нем JavaScript-кода. Поэтому я бы из полученных данных вырезал бы принудительно содержимое тегов <script>, <link>, <object>, <embed>. Либо, что наверно еще более правильно, фильтровал бы через strip_tags, оставив только те теги, которые разрешены. Допустим теги b,s,u,strong,a,span,div,table,tr,th,td.
Записан
*

nikonor

  • Давно я тут
  • 513
  • 56 / 0
  • Content Grabber
Re: Получение данных от пользователя. Безопасно?
« Ответ #2 : 27.11.2009, 15:21:51 »
дальше данные вставляются вот так
Код
			$strSQL	= "INSERT INTO " . $db->nameQuote('#__data')
					. ' SET ' . $db->nameQuote('value')	. '=' . $db->Quote($postData);
strip_tags тоже не выход ... он например события не обрабатывает onmouseover и тд...
А в чем разница между JREQUEST_NOTRIM, JREQUEST_ALLOWRAW и JREQUEST_ALLOWHTML?
можно как то к моему коду прикрутить проверку через JFilterInput?
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Не могу зайти на сайт через админку, ввожу имя пользователя и пароль - не совп

Автор kolia2918

 Ответов: 4
Просмотров: 2040 		Последний ответ 01.09.2018, 13:37:56
от wishlight
базы данных в папке администратора и безопасность

Автор Antonio Racter

 Ответов: 3
Просмотров: 1150 		Последний ответ 26.03.2017, 17:41:13
от Antonio Racter
User: :_load: Не удалось загрузить пользователя - это взлом?

Автор x1

 Ответов: 1
Просмотров: 1201 		Последний ответ 11.01.2017, 19:59:22
от Septdir
Исчезли базы данных

Автор Maxum

 Ответов: 21
Просмотров: 2444 		Последний ответ 01.11.2015, 13:19:12
от Maxum
Не могу вычислить и забанить пользователя

Автор Leyzif

 Ответов: 12
Просмотров: 1694 		Последний ответ 11.08.2015, 12:40:45
от SeBun