kolyan22region Опубликовано 13 ноября, 2015 Жалоба Поделиться Опубликовано 13 ноября, 2015 ВЕРСИЯ 1.0 Виджет комментариев версии 1.0 (на счет второй я подумаю) Это конечно не точная копия, но похожее на ВК. т.к. для точной копии там нужно с кодом жёстко [CENSORED]Е*****Я[/CENSORED] Страницу создания виджета и самого виджета я делал не заморачиваясь, поэтому сами украшайте новогодней ёлочкой. СКРИНЫ: WIDGET_COMMENTS Виджет комментариев.zip 5 Ссылка на комментарий Поделиться на другие сайты Поделиться
viiprogrammer Опубликовано 13 ноября, 2015 Жалоба Поделиться Опубликовано 13 ноября, 2015 $text = htmlspecialchars($_POST["text"]); case "delete_comm": NoAjaxQuery(); $id = $_POST["post_id"]; $info_post = $db->super_query("SELECT id,owner_id FROM widgets_comments_post WHERE id = {$id} "); if($user_id == $info_post["owner_id"]) { $db->query("DELETE FROM `widgets_comments_post` WHERE id = {$id}"); $id = $_POST["post_id"]; $hidden_wid = $_POST["hidden_wid"]; надо фильтровать иначе любой сможет сделать SQL injection Кароче довольно много не фильтрованных переменных , а то все поставят а потом сборки слить на раз-два Все не смотрел.. то вот то что выше делается так $text = textFilter($_POST["text"]); $id = intval($_POST["post_id"]); $hidden_wid = intval($_POST["hidden_wid"]); P.s Для тех кто не знает что такое SQL injection: https://xakep.ru/2011/12/06/57950/ 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
GreenMonster Опубликовано 13 ноября, 2015 Жалоба Поделиться Опубликовано 13 ноября, 2015 $text = htmlspecialchars($_POST["text"]); case "delete_comm": NoAjaxQuery(); $id = $_POST["post_id"]; $info_post = $db->super_query("SELECT id,owner_id FROM widgets_comments_post WHERE id = {$id} "); if($user_id == $info_post["owner_id"]) { $db->query("DELETE FROM `widgets_comments_post` WHERE id = {$id}"); $id = $_POST["post_id"]; $hidden_wid = $_POST["hidden_wid"]; надо фильтровать иначе любой сможет сделать SQL injection Кароче довольно много не фильтрованных переменных , а то все поставят а потом сборки слить на раз-два Все не смотрел.. то вот то что выше делается так $text = textFilter($_POST["text"]); $id = intval($_POST["post_id"]); $hidden_wid = intval($_POST["hidden_wid"]); P.s Для тех кто не знает что такое SQL injection: https://xakep.ru/2011/12/06/57950/ Может он специально не фильтрует переменные, что бы потом сборочки сливать. Ссылка на комментарий Поделиться на другие сайты Поделиться
viiprogrammer Опубликовано 13 ноября, 2015 Жалоба Поделиться Опубликовано 13 ноября, 2015 Может он специально не фильтрует переменные, что бы потом сборочки сливать. не думаю , просто ошибки... 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanchez Опубликовано 13 мая, 2019 Жалоба Поделиться Опубликовано 13 мая, 2019 В 13.11.2015 в 17:07, kolyan22region сказал: ВЕРСИЯ 1.0 Виджет комментариев версии 1.0 (на счет второй я подумаю) Это конечно не точная копия, но похожее на ВК. т.к. для точной копии там нужно с кодом жёстко [CENSORED]Е*****Я[/CENSORED] Страницу создания виджета и самого виджета я делал не заморачиваясь, поэтому сами украшайте новогодней ёлочкой. СКРИНЫ: Скрыть контент WIDGET_COMMENTS Виджет комментариев.zip Чета виджет не показывает,он в него заносит число виджета но не показывает сам виджет ??? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения