XSS

figabo

hay un bug en la pagina de error donde se despliega cuando no existe algun metodo


supongamos asi

<!-- m --><a class="postlink" href="http://localhost/Fmedicos/">http://localhost/Fmedicos/</a><!-- m -->><plaintext>

en donde la path Fmedicos es el reemplazo del nombre de kumbia-*

la version que estoy usando es la estable

no estan grave pero es un bug que se deberia de corregir Xd

bueno esta es la imagen



la correcion es en el archivo kumbia.php

en la linea 248

solamente pasarle ala variable strip_tags() o addslashes bueno ustedes ya saben no tiene caso decirlo

pero bueno es aqui

throw new kumbiaException("
						No se encontró el Controlador \"{$_REQUEST['controller']}\"",
						"Hubo un problema al cargar el controlador, probablemente
						el archivo no exista en el directorio de módulos ó exista algun error
						de sintaxis. Si desconoce la naturaleza
						de este mensaje consulte con el administrador del sistema");
						return false;

la variable $_REQUEST no se limpia en ningun momento

espero haberles ayudado <!-- s:) --><img src="{SMILIES_PATH}/icon_smile.gif" alt=":)" title="Smile" /><!-- s:) -->

buen trabajo

figabo

otro bug en los formularios

al momento de hacer alguna consulta desde un formulario usando el ejemplo que ponen en el libro

sobre la tienda

usando este codigo

<?php
class Productoscontroller extends StandardForm {
public $scaffold = true;
}
?>

y este otro

<?php
class Productoscontroller extends StandardForm {
public $scaffold = true;
}
?>

ala hora de adicionar algo ala base de datos si se pone en los campos supongamos

><plaintext>

en cada uno de los campos ala hora de hacer una consulta o visualizar la informacion se destruye y solamente se ve el codigo fuente para corregir esto se puede usar la funcion...

strip_tags();

para limpiar las variables

o usar esta otra que es nueva y es para php 5

filter_input();

añadiendole los parametros

ese es el bug que podria ser algo molesto