Добро пожаловать, Гость!
Есть инъекции?
Общие вопросы | Есть инъекции?


Есть инъекции?
22 Марта 2014mysql_query("INSERT INTO
`fotokr_komm` (`id_u`, `time`,
`msg`, `id_foto`, `otv`, `id_kon`)
values('$user[id]', '$time', ' $msg',
'$foto[id]', '$reply', '$kon[id]')");
Комментарии:



Red_Energy (22 Марта 2014):
PluginS, как-то ты неправильно ему обьяснил, в $msg все что угодно может быть, это лишь название переменной.
Red_Energy, Ну я по названию msg думаю, что там текст... А так, то на все переменные вывода текста фильтры поставить и всё ок.PluginS, как-то ты неправильно ему обьяснил, в $msg все что угодно может быть, это лишь название переменной.


PluginS (22 Марта 2014):
Если на $msg фильтр имеется, то норм, а так, то my_esc() ставь на текстовые. То есть типа $msg (".my_esc($msg)."), $reply и т.д.
PluginS, как-то ты неправильно ему обьяснил, в $msg все что угодно может быть, это лишь название переменной.Если на $msg фильтр имеется, то норм, а так, то my_esc() ставь на текстовые. То есть типа $msg (".my_esc($msg)."), $reply и т.д.



Если на $msg фильтр имеется, то норм, а так, то my_esc() ставь на текстовые. То есть типа $msg (".my_esc($msg)."), $reply и т.д.


KENT, так это тот же код только в нём уже нет уязвимости так как стоят кавычки и фильтр


Автор темы
vitalik3005, в посту второй код! Где что ответил!
______________________
http://