Tema: paginator 1.6.3 con fallo xss
Ver Mensaje Individual
  #2 (permalink)  
Antiguo 18/08/2011, 12:28
Avatar de Triby
Triby
Mod on free time
  
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 3 meses
Puntos: 2237
Respuesta: paginator 1.6.3 con fallo xss
De hecho, parece que lo unico que tienes que hacer es definir $_pagi_propagar antes de incluir el script del paginator, revisa esta parte:

Código PHP: 
Ver original
  1. // Codigo de paginator:
  2.  
  3. /*
  4.  * Propagación de variables por el URL.
  5.  *------------------------------------------------------------------------
  6.  */
  7.  // La idea es pasar también en los enlaces las variables hayan llegado por url.
  8.  $_pagi_enlace = $_SERVER['PHP_SELF'];
  9.  $_pagi_query_string = "?";
  10.  
  11.  if(!isset($_pagi_propagar)){
  12.      //Si no se definió qué variables propagar, se propagará todo el $_GET (por compatibilidad con versiones anteriores)
  13.     //Perdón... no todo el $_GET. Todo menos la variable _pagi_pg
  14.     if (isset($_GET['_pagi_pg'])) unset($_GET['_pagi_pg']); // Eliminamos esa variable del $_GET
  15.     $_pagi_propagar = array_keys($_GET);
  16.  }elseif(!is_array($_pagi_propagar)){
  17.     // si $_pagi_propagar no es un array... grave error!
  18.     die("<b>Error Paginator : </b>La variable \$_pagi_propagar debe ser un array");
  19.  }

Entonces, tu codigo deberia ser:
Código PHP: 
Ver original
  1. $_pagi_propagar = array('var1', 'var2', 'varN');
  2.  
  3. // Aqui deberias ejecutar una funcion para limpiar todo lo que estes recibiendo por $_GET
  4. // En el foro hay varios aportes al respecto
  5.  
  6. include 'script_del_paginator.php';

Ejemplo de funcion de limpieza : http://www.forosdelweb.com/3497564-post2.html

Deberias hacer un ciclo para limpiar cada valor.
__________________
- León, Guanajuato
- GV-Foto