Не зря люди говорят что "Все гениальное просто, но не все простое гениально". Хотелось бы представить вам новую возможность безопасности ядра скрипта от проведения XSS атак и MySQL инъекций. Более 90% различного рода атак и сканирований происходит путем манипуляции строкой браузера и передачей зловредного кода методом GET. На данный момент безопасность сводилась к тщательной фильтрации входящих данных, и переменные очищались от возможного зловредного кода. Это дает безопасность самого скрипта, но если установлен сторонний модуль, то безопасность сайта зависит уже от того побеспокоился ли об этом автор или нет. Да и не всегда удается качественно очистить входящий код, некоторые переменные могут быть забыты. После недолго размышления над этим пришла довольно простая мысль достаточно проверить строку URL браузера на наличие 3 символов чтобы полностью исключить возможность XSS и MySQL инъекций, а также исключить сканирование скрипта на наличие уязвимых переменных. Данная возможность будет включена в новую версию скрипта 5.2. Но данная версия еще находится на стадии разработки, поэтому я предлагаю вам воспользоваться этой возможностью уже сейчас.

Уникальность данного метода состоит в том что он не проверяет какие-то отдельные переменные, а проверяет весь поток поступающей информации с URL браузера, при нахождении символов " ' ../ ./ > < полностью блокирует работу скрипта еще до начала его выполнения. Причем абсолютно неважно в каком виде поступают эти символы, будь то прямой ввод или с использованием спецсимволов HTML. Для работы же самого скрипта эти символы в строке URL абсолютно не нужны.

Итак хватит вступления что вам необходимо сделать чтобы иметь данный метод блокировки уже сейчас. Это применимо для всех версий DataLife Engine.



Ссылки для примера:

http://dle-news.ru/user/celso'ft/
http://dle-news.ru/index.php?do=pm&doaction=newpm&user=1"+union%20SQL
http://dle-news.ru/index.php?do=newmodul&mydata=<script>alert(XSS)</script>