это дыра?

20 Дек 2013

<?$msg=$_POST['msg'];
if (isset($_POST['translit']) && $_POST['translit']==1)$msg=translit($msg);
if (strlen2($msg)<2)$err[]='Короткое сообщение';
if (strlen2($msg)>10000)$err[]='Длина сообщения превышает предел в 10000 символjd';?>

Статистика WMID автора:

500379240102 BL

Претензии | Отзывы

Комментарии:

WIZART

20 Дек 2013
Да это дыра, но посмотри в самом запросе в базу, возможно там стоит фильтрация.
______________________
Imitation of life

Veteran

20 Дек 2013
Автор темы
FoRyS, как правильно прикрыть это ? я учусь только !не совсем еще понимаю !

FoRyS

20 Дек 2013
Veteran, при записе в бд пишется так ".my_esc($msg)." или можешь зарание профильтровать, при выводе нужно htmlspecialchars (за исключением уверенных мест, ник и тд), почти во всех файлах при выводе используется output_text (тут не нужно htmlspecialchars ) , если же выводишь без output_text то нужно.

Veteran

20 Дек 2013
Автор темы
HASANOV, да я и не утверждаю ! я спрашиваю просто !

FoRyS

20 Дек 2013
HASANOV, ну я прав был про каникулы, эх ты)))

Veteran

20 Дек 2013
Автор темы
FoRyS, $msg=htmlspecialchars($_POST['msg']);
а если так ???? правильно ли будет?

HASANOV

20 Дек 2013
FoRyS, ребята учите php теперь заходи на хост и смотрите mail.php и.т.д скрипты там тоже дыры все надо исправить а то взломают вас))))