Jump to content

WIDGET_COMMENTS Виджет комментариев


Recommended Posts

ВЕРСИЯ 1.0

Виджет комментариев версии 1.0 (на счет второй я подумаю)

 

Это конечно не точная копия, но похожее на ВК. т.к. для точной копии там нужно с кодом жёстко [CENSORED]Е*****Я[/CENSORED]

 

Страницу создания виджета и самого виджета я делал не заморачиваясь, поэтому сами украшайте новогодней ёлочкой.

 

СКРИНЫ:

 

 

post-299-0-58929300-1447416391_thumb.png

post-299-0-47036000-1447416392_thumb.png

 

 

 

WIDGET_COMMENTS Виджет комментариев.zip

  • Upvote 5
Link to comment
Share on other sites

 

$text = htmlspecialchars($_POST["text"]);
case "delete_comm":
NoAjaxQuery();
$id = $_POST["post_id"];
$info_post = $db->super_query("SELECT id,owner_id FROM widgets_comments_post WHERE id = {$id} ");

if($user_id == $info_post["owner_id"]) {
$db->query("DELETE FROM `widgets_comments_post` WHERE id = {$id}");
$id = $_POST["post_id"];
$hidden_wid = $_POST["hidden_wid"];

надо фильтровать иначе любой сможет сделать SQL injection

 

Кароче довольно много не фильтрованных переменных , а то все поставят а потом сборки слить на раз-два

 

Все не смотрел.. то вот то что выше делается так

$text = textFilter($_POST["text"]);
$id = intval($_POST["post_id"]);
$hidden_wid = intval($_POST["hidden_wid"]);

P.s Для тех кто не знает что такое SQL injection: https://xakep.ru/2011/12/06/57950/

  • Upvote 1
Link to comment
Share on other sites

$text = htmlspecialchars($_POST["text"]);
case "delete_comm":
NoAjaxQuery();
$id = $_POST["post_id"];
$info_post = $db->super_query("SELECT id,owner_id FROM widgets_comments_post WHERE id = {$id} ");

if($user_id == $info_post["owner_id"]) {
$db->query("DELETE FROM `widgets_comments_post` WHERE id = {$id}");
$id = $_POST["post_id"];
$hidden_wid = $_POST["hidden_wid"];

надо фильтровать иначе любой сможет сделать SQL injection

 

Кароче довольно много не фильтрованных переменных , а то все поставят а потом сборки слить на раз-два

 

Все не смотрел.. то вот то что выше делается так

$text = textFilter($_POST["text"]);
$id = intval($_POST["post_id"]);
$hidden_wid = intval($_POST["hidden_wid"]);

P.s Для тех кто не знает что такое SQL injection: https://xakep.ru/2011/12/06/57950/

 

 

Может он специально не фильтрует переменные, что бы потом сборочки сливать.

Link to comment
Share on other sites

  • 3 years later...
В 13.11.2015 в 17:07, kolyan22region сказал:

ВЕРСИЯ 1.0

Виджет комментариев версии 1.0 (на счет второй я подумаю)

 

Это конечно не точная копия, но похожее на ВК. т.к. для точной копии там нужно с кодом жёстко [CENSORED]Е*****Я[/CENSORED]

 

Страницу создания виджета и самого виджета я делал не заморачиваясь, поэтому сами украшайте новогодней ёлочкой.

 

СКРИНЫ:

 

  Скрыть контент

 

post-299-0-58929300-1447416391_thumb.png

post-299-0-47036000-1447416392_thumb.png

 

 

 

WIDGET_COMMENTS Виджет комментариев.zip

Чета виджет не показывает,он в него заносит число виджета но не показывает сам виджет ???

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...