Hello,

Забыл проверить "%00", апдейт тут:
http://pastebin.com/raw.php?i=cFsthQEi

On 11/26/2013 08:09 AM, Роман Шишнев wrote:
> Hello,
>
> Не влез патч в рассылку. Повторюсь.
>
> Хотел обойтись малой кровью Но раз ssi и dav туда-же,
> то вот мой следующий опус:
> http://pastebin.com/raw.php?i=CPBwq7xY
>
> Надеюсь, на этот раз в нужном направлении.
>
> Заодно закроется бага с редиректом "../blablabla"
> которая считалась safe.
>
> P.S. это едиственный coding style?
> http://wiki.nginx.org/CodingStyle
>
> On 11/26/2013 02:35 AM, Maxim Dounin wrote:
>> Hello!
>>
>> On Tue, Nov 26, 2013 at 01:47:36AM +0300, Роман Шишнев wrote:
>>
>>> Hello,
>>>
>>> Тогда всё проще и вот так.
>>
>> Совершенно точно нет. Проверить, разескейпить, потом ещё раз
>> проверить - это совсем не тот подход, которым следует
>> пользоваться. Не говоря уже о том, что ssi и dav это не лечит.
>>
>> Перечитайте ещё раз то, что уже было написано по данному вопросу.
>> Тикет, всё-таки, не совсем бесполезен, там по ссылкам есть review
>> предыдущих попыток.
>>
>> http://trac.nginx.org/nginx/ticket/316
>>
>>> P.S. зачем flags в ngx_http_parse_unsafe_uri()
>>> передается по ссылке?
>>
>> Исходно этот параметр использовался для возврата флагов, в
>> частности - NGX_HTTP_ZERO_IN_URI:
>>
>> http://hg.nginx.org/nginx/diff/58475592100c/src/http/ngx_http_parse.c
>>
>> С тех пор флаг NGX_HTTP_ZERO_IN_URI упразднили, но интерфейс
>> остался.
>>
>

--
С уважением,
Роман Шишнёв,
CTO | ActiveCloud | http://www.active.by
Т +375 17 2 911 511 доб. 308 | rommer@active.by
Облачные решения | Серверы и инфраструктура | IaaS | SaaS | Хостинг

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru