Смотреть всем!!! Новый Баг Рулетки!

[Default]

Зашел я на свою рулетку с утра и что я вижу, какой то тип в чате написал команды, когда я заходил на свой сайт меня кидала автоматически на его сайт, с 9 мая друзья! бд не было и сайта тоже вопрос как он это сделал? Сделал он это через чат, Разуметься сам код весь я сохранил и даю на общею огласку может кто что поймет? каким то образом у него вместо аватарки код что за бред?

{
"_id": ObjectID("5639d7b00d9e8607359fe6f6"),
"user_message": "a",
"user_name": "Администратор",
"user_id": "admin",
"user_avatar": "#\" onerror=window.location.replace('

У вас нет разрешения на просмотр ссылки, пожалуйста Войдите или Зарегистрируйтесь

/>CSGO.COM",
"ip": "109.184.88.75",
"date": "2015-11-04 13:02:24",
"otvet": "<li><a href=# onClick=add_otvet('@Администратор:')>ответить</a></li>"
}

 

[Kosten]

Далеко не новый баг

 

[FlapStap1]

Далеко не новый баг

как сделать этот баГ?

 

[GoogleBABA]

В нике пишешь код и в сообщении, вот и весь прикол

 

[dimickh]

ой да ладно xss в чате csgowar
НЕ МОЖЫД БЫТЬ ТАКОГО
алсо onClick=add_otvet это вообще пушка

 

[FlapStap1]

Не может быть? я по твоему выдумал?

не не у меня сегодня на рулетке такаяже хня была

 

[dimickh]

Не может быть? я по твоему выдумал?

не не у меня сегодня на рулетке такаяже хня была

это сарказм был

 

[dimickh]

ОМГ Тупое набивание постов в бан таких!

чет малеха неадекватный ты
по сабжу решается 4 строками на js ->>>> escapeHtml

 

[313123]

Не адекватный? я эти тупые сарказмы которые понимает сам автор считаю за спам! Я не просил решения я спросил как такое возможно читай тему!

У меня тож на рулетки такое было , а как убрать???? чтобы никтогда не было?

 

[test227test227]

а, ну как всегда, мои сообщения удаляют. видимо я тут единственный здравомыслящий.

 

[danil.dh]

а, ну как всегда, мои сообщения удаляют. видимо я тут единственный здравомыслящий.

И не только твои. Если бы срач не разводили,я бы нечего не удалял.

 

[Islam]

поставь фильтр на avatar
Можешь поставить как и на входе так и на выходе
$message_info['user_avatar'] = trim(strip_tags(htmlspecialchars_decode($message_info['user_avatar'])));

 

[313123]

Тоже самое , как исправить?

Чат выключи

 

[GoldOne2]

поставь фильтр на avatar
Можешь поставить как и на входе так и на выходе
$message_info['user_avatar'] = trim(strip_tags(htmlspecialchars_decode($message_info['user_avatar'])));

а куда это вписать?

 

[GoldOne2]

У тебя тоже самое было? если до то авторизация и чат нормально работают теперь?

не было, но хочу пофиксить чтоб небыло. Скорей всего что в монгобд залез защита от вируса этот

 

[InsUpCray]

Пля, это запрос типа chat/chat.php?action=get&_steamid=АЙДИ&username=НЭЙМ... и так далее, могу ошибаться...верней ошибаюсь)

 

[Islam]

Вот такой прикол вот что делать ?

можно сделать проверку при принятие смс , есть ли такой юзер в бд

 

[InsUpCray]

Вот такой прикол вот что делать ?

Баг базы, просто создай таблицу в базе с произвольным названием и база обновится, после чего удали в steam_chat данное сообщение

 

[InsUpCray]

insupcraynx1

 

[unknQwN]

Старый баг на самом деле, фикс выложили расходимся