Jump to content

Recommended Posts

ВЕРСИЯ 1.0

Виджет комментариев версии 1.0 (на счет второй я подумаю)

 

Это конечно не точная копия, но похожее на ВК. т.к. для точной копии там нужно с кодом жёстко [CENSORED]Е*****Я[/CENSORED]

 

Страницу создания виджета и самого виджета я делал не заморачиваясь, поэтому сами украшайте новогодней ёлочкой.

 

СКРИНЫ:

 

 

post-299-0-58929300-1447416391_thumb.png

post-299-0-47036000-1447416392_thumb.png

 

 

 

WIDGET_COMMENTS Виджет комментариев.zip

  • Upvote 5

Share this post


Link to post
Share on other sites

 

$text = htmlspecialchars($_POST["text"]);
case "delete_comm":
NoAjaxQuery();
$id = $_POST["post_id"];
$info_post = $db->super_query("SELECT id,owner_id FROM widgets_comments_post WHERE id = {$id} ");

if($user_id == $info_post["owner_id"]) {
$db->query("DELETE FROM `widgets_comments_post` WHERE id = {$id}");
$id = $_POST["post_id"];
$hidden_wid = $_POST["hidden_wid"];

надо фильтровать иначе любой сможет сделать SQL injection

 

Кароче довольно много не фильтрованных переменных , а то все поставят а потом сборки слить на раз-два

 

Все не смотрел.. то вот то что выше делается так

$text = textFilter($_POST["text"]);
$id = intval($_POST["post_id"]);
$hidden_wid = intval($_POST["hidden_wid"]);

P.s Для тех кто не знает что такое SQL injection: https://xakep.ru/2011/12/06/57950/

  • Upvote 1

Share this post


Link to post
Share on other sites
$text = htmlspecialchars($_POST["text"]);
case "delete_comm":
NoAjaxQuery();
$id = $_POST["post_id"];
$info_post = $db->super_query("SELECT id,owner_id FROM widgets_comments_post WHERE id = {$id} ");

if($user_id == $info_post["owner_id"]) {
$db->query("DELETE FROM `widgets_comments_post` WHERE id = {$id}");
$id = $_POST["post_id"];
$hidden_wid = $_POST["hidden_wid"];

надо фильтровать иначе любой сможет сделать SQL injection

 

Кароче довольно много не фильтрованных переменных , а то все поставят а потом сборки слить на раз-два

 

Все не смотрел.. то вот то что выше делается так

$text = textFilter($_POST["text"]);
$id = intval($_POST["post_id"]);
$hidden_wid = intval($_POST["hidden_wid"]);

P.s Для тех кто не знает что такое SQL injection: https://xakep.ru/2011/12/06/57950/

 

 

Может он специально не фильтрует переменные, что бы потом сборочки сливать.

Share this post


Link to post
Share on other sites

Может он специально не фильтрует переменные, что бы потом сборочки сливать.

не думаю , просто ошибки...

  • Upvote 1

Share this post


Link to post
Share on other sites
В 13.11.2015 в 17:07, kolyan22region сказал:

ВЕРСИЯ 1.0

Виджет комментариев версии 1.0 (на счет второй я подумаю)

 

Это конечно не точная копия, но похожее на ВК. т.к. для точной копии там нужно с кодом жёстко [CENSORED]Е*****Я[/CENSORED]

 

Страницу создания виджета и самого виджета я делал не заморачиваясь, поэтому сами украшайте новогодней ёлочкой.

 

СКРИНЫ:

 

  Скрыть контент

 

post-299-0-58929300-1447416391_thumb.png

post-299-0-47036000-1447416392_thumb.png

 

 

 

WIDGET_COMMENTS Виджет комментариев.zip

Чета виджет не показывает,он в него заносит число виджета но не показывает сам виджет ???

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×