Помнится, пару лет назад, когда я только начинал изучать PHP я упомянал, что делаю свою CMS, которую успешно взломал тов. halkfild (Спасибо, иначе я не узнал бы о том, что такое SQL-Inj. :) ). Ну что ж, прошло кое-какое время, я многому научился. И теперь я разработал новую CMS, которая даже больше похожа на фреймворк. Имя её Cosmiqum. Прошу посмотреть на неё и сказать, не пропустил ли я чего.

Вчера я выложил первую публичную версию ядра системы, в течении нескольких дней выложу базовые плагины для системы. Тем не менее, прошу пока потестить ядро. Когда выложу плагины, я отпишу здесь.

http://code.google.com/p/cosmiqum/

P.S. Также, буду рад комментариям по поводу оформления кода.

UPD. Добавил плагины для работы с шаблонами и для работы с БД. просьба проверить и их. Также немного изменил ядро.

Из недочетов:
В функции LoadLang (как в файле engine/includes/functions.php, так и в engine/includes/plugins.class.php) не помешало бы добавить не большую фильтрацию - вырезать / и .., после чего обрезать по длинне - ограничить до 255 символов.

Больше ничего, покрайней мере я, не нашел.

Спасибо, поправлю. Когда выложу плагины, там наверняка будет побольше уязвимостей, особенно плагин для работы с БД.
UPD: Добавил 2 плагина. Первый пост обновлен.

Файл core.php, хоть к выводу путей это не приводит т.к. ошибки пишутся в твой класс, но все же можно избавиться от этих ошибок.

к примеру:
http://cms.lo/index.php?a[]=1

// твоя фильтрация xss и аналогичные обработки $_POST, $_COOKIE
foreach ($_GET as $key => $value) {
$_GET[$key] = htmlspecialchars($value);
}

тогда $value будет содержать
Array ( [0] => 1 )
и как следствие ошибка
htmlspecialchars() expects parameter 1 to be string, array given
которая запишется в $oErrors, ничего критичного в этом нет, но все же можно избавится от ненужной ошибки, проверкой на массив перед тем как отдавать в htmlspecialchars()

Ага, спасибо, поправил + добавил еще 2 плагина

Файл registration.php. Функ HandlePage.

$oPluginDb->Query("UPDATE ".$oPluginDb->sPrefix."users SET "."`code`='', `active`=1 WHERE `id`=$id");

ты обычно использовал $oPluginDb->Quote($_param) а тут WHERE `id`=$id
насколько я понял это $_REQUEST['id']. В ситуации, когда magic_quotes_gpc=Off; возможна sql-inj

P.S. поправьте если ошибаюсь.

P.S. поправьте если ошибаюсь.
Да, спасибо, все верно... пропустил просто этот момент ) Более того, у меня там вместо $iId просто $id...

Кстати. magic_quotes никакой роли не играет, т.к. если он включен, то экранированые кавычки превращаются в обычные и если не фильтровать переменную при запросе в БД то запрос уязвим.

Та же история в файле restorepw.php
Функ HandlePage. Для параметра $iId забыл $oPluginDb->Quote()

$iId = $_REQUEST['id'];
$sCode = $_REQUEST['code'];

$aRow = $oPluginDb->Record("SELECT * FROM ".$oPluginDb->sPrefix."users "."WHERE `id`=$iId AND `code`=".$oPluginDb->Quote($sCode)." AND `active`=1");

Посмотри еще раз этот файл на предмет фильтрации, там еще в нескольких местах встречается.

И еще очепятка =) выделена жирным

if ($sPage == 'restorepw_setpw' && isset($_REQUEST['id']) &&
$_REQEST['id']>0 && isset($_REQUEST['code']) && strlen($_REQUEST['code'])==32) {

Та же история в файле restorepw.php
Функ HandlePage. Для параметра $iId забыл $oPluginDb->Quote()

Там все нормально. См. выше:
...isset($_REQUEST['id']) && $_REQEST['id']>0 &&...
т.е. id должен быть числом больше нуля, а значит туда нельзя подставить ничего лишнего нельзя.

И еще очепятка =) выделена жирным

if ($sPage == 'restorepw_setpw' && isset($_REQUEST['id']) &&
$_REQEST['id']>0 && isset($_REQUEST['code']) && strlen($_REQUEST['code'])==32) {
а за это спасибо! )

Все несколько иначе.
$_REQUEST['id']>0
если ты полагаешься на эту проверку, то смотри выполни этот код с параметром test.php?id=1'
<?php
if (isset($_REQUEST['id']) && $_REQUEST['id'] > 0) {
echo $_REQUEST['id'];
}
?>
проверка будет пройдена и результат распечатан и след. в предыдущем посте я был прав, следовательно проверка не правильно составлена. Советую переделать на такой вариант:

// после этого ты точно будешь знать, что у тебя там число
$iId = intval($_REQUEST['id']);
и потом делать проверку на
if (!empty($iId))

Странно, но у меня все-равно проверку не проходит... но твой вариант проверки действительно правильнее.