Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
String values assigned to JavaScript variables must be escaped to prevent XSS attacks.
In your PHP code, please cast the integer values that you use above to (int) and remove the quotes from above code block.
In your PHP code, please apply addslashes() to your string values when assigning them to the template and use the A_ prefix for your template variable names to signal that their value has been escaped.
For language variables, instead of the usual L_ prefix, please use LA_. This will escape the language string for you.
но вся штука в том что addslashes() и затем A_ prefix не работает...или я что то не так делаю?
в коде пишу TMP_VAR = addslashes('тра ля ля');
в темплате {A_TMP_VAR}
Это и есть просто переменная, начинающаяся с префикса A_. Если бы она автоматически экранировалась "движком" шаблона, то экранирование в коде не потребовалось бы (двойное экранирование бессмысленно).
Отправлено спустя 17 минут 42 секунды:
правда не понятно делает ли оно вообще что то))) в переменных то экранировать нечего))
ну да главное вопрос снят - надеюсь им понравится))