Добро пожаловать, Гость!
инъекция - Страница 4
Заработок | инъекция
Юрий 
: инъекция
25 Фев 2014mysql_query("UPDATE `user_files` SET `name` = '".my_esc($name)."', `pass` = '".my_esc($pass)."', `msg` = '".my_esc($msg)."' WHERE `id` = '$folder[id]' LIMIT 1");
это инъекция? если да то как тут можно её закрыть
Комментарии:
Юрий 25 Фев 2014Автор темы
ЗЕЛЕНЫЙ ШЕРШЕНЬ (25 Фев 2014):
Юрий, да, все в норме..
Как я понял, в дцмс функция
my_esc() это- mysql_real_escape_string() тоесть, эта функция фильтрует ТЕКСТ перед записью в базу, чтобы скл инъекцию убрать.)
Mark, ну понятно)) спасибо за инфуЮрий, да, все в норме..
Как я понял, в дцмс функция
my_esc() это- mysql_real_escape_string() тоесть, эта функция фильтрует ТЕКСТ перед записью в базу, чтобы скл инъекцию убрать.)
ЗЕЛЕНЫЙ ШЕРШЕНЬ
25 Фев 2014
Юрий (25 Фев 2014):
mysql_query("UPDATE `chat_rooms` SET `name` = '".mysql_real_escape_string($name)."', `opis` = '".mysql_real_escape_string($opis)."', `pos` = '".mysql_real_escape_string($pos)."', `umnik` = '".mysql_real_escape_string($umnik)."', `shutnik` = '".mysql_real_escape_string($shutnik)."', `anagrama` = '".mysql_real_escape_string($anagramma)."' WHERE `id` = '$room[id]' LIMIT 1");
а что так надо сделать
Юрий, без разницы, одно и тоже)mysql_query("UPDATE `chat_rooms` SET `name` = '".mysql_real_escape_string($name)."', `opis` = '".mysql_real_escape_string($opis)."', `pos` = '".mysql_real_escape_string($pos)."', `umnik` = '".mysql_real_escape_string($umnik)."', `shutnik` = '".mysql_real_escape_string($shutnik)."', `anagrama` = '".mysql_real_escape_string($anagramma)."' WHERE `id` = '$room[id]' LIMIT 1");
а что так надо сделать
ЗЕЛЕНЫЙ ШЕРШЕНЬ
25 Фев 2014
Юрий (24 Фев 2014):
Mark, $opis=my_esc($_POST['opis']);
$pos=intval($_POST['pos']);
if ($_POST['bots']==4)$anagrama=1;else $anagrama=0;
if ($_POST['bots']==1 || $_POST['bots']==3)$umnik=1;else $umnik=0;
if ($_POST['bots']==2 || $_POST['bots']==3)$shutnik=1;else $shutnik=0;
mysql_query("UPDATE `chat_rooms` SET `name` = '$name', `opis` = '$opis', `pos` = '$pos', `umnik` = '$umnik', `shutnik` = '$shutnik', `anagrama` = '$anagrama' WHERE `id` = '$room[id]' LIMIT 1");
ну здесь экранизация, я так понимаю?
Юрий, да, все в норме..Mark, $opis=my_esc($_POST['opis']);
$pos=intval($_POST['pos']);
if ($_POST['bots']==4)$anagrama=1;else $anagrama=0;
if ($_POST['bots']==1 || $_POST['bots']==3)$umnik=1;else $umnik=0;
if ($_POST['bots']==2 || $_POST['bots']==3)$shutnik=1;else $shutnik=0;
mysql_query("UPDATE `chat_rooms` SET `name` = '$name', `opis` = '$opis', `pos` = '$pos', `umnik` = '$umnik', `shutnik` = '$shutnik', `anagrama` = '$anagrama' WHERE `id` = '$room[id]' LIMIT 1");
ну здесь экранизация, я так понимаю?
Как я понял, в дцмс функция
my_esc() это- mysql_real_escape_string() тоесть, эта функция фильтрует ТЕКСТ перед записью в базу, чтобы скл инъекцию убрать.)
Юрий 25 Фев 2014Автор темы
mysql_query("UPDATE `chat_rooms` SET `name` = '".mysql_real_escape_string($name)."', `opis` = '".mysql_real_escape_string($opis)."', `pos` = '".mysql_real_escape_string($pos)."', `umnik` = '".mysql_real_escape_string($umnik)."', `shutnik` = '".mysql_real_escape_string($shutnik)."', `anagrama` = '".mysql_real_escape_string($anagramma)."' WHERE `id` = '$room[id]' LIMIT 1");
а что так надо сделать
Юрий 24 Фев 2014Автор темы
Mark, $opis=my_esc($_POST['opis']);
$pos=intval($_POST['pos']);
if ($_POST['bots']==4)$anagrama=1;else $anagrama=0;
if ($_POST['bots']==1 || $_POST['bots']==3)$umnik=1;else $umnik=0;
if ($_POST['bots']==2 || $_POST['bots']==3)$shutnik=1;else $shutnik=0;
mysql_query("UPDATE `chat_rooms` SET `name` = '$name', `opis` = '$opis', `pos` = '$pos', `umnik` = '$umnik', `shutnik` = '$shutnik', `anagrama` = '$anagrama' WHERE `id` = '$room[id]' LIMIT 1");
ну здесь экранизация, я так понимаю?
ЗЕЛЕНЫЙ ШЕРШЕНЬ
24 Фев 2014Юрий, если переменные не отфильтрованы то думаю есть в
$name
$opis
$pos
$umnik
$shutnik
$anagrama дырки, покажи их определение
