Добро пожаловать, Гость!
Здесь есть дыры?? - Страница 3
Заработок | Здесь есть дыры??
Искатель
: Здесь есть дыры??
29 Июля 2013if(isset($_GET['ololo'])){
echo 'cod';
}
echo '<a href='?ololo'>url</a>';
Комментарии:
neonix2010 
28 Июля 2013
array (28 Июля 2013):
Скиталец, ты придумал какой-то новый изощренный фильтр?
array, Экранирует специальные символы в unescaped_string , принимая во вниманиеСкиталец, ты придумал какой-то новый изощренный фильтр?
кодировку соединения, таким образом, что результат можно безопасно
использовать в SQL-запросе в функции mysql_query() . Если вставляются бинарные
данные, то к ним так же необходимо применять эту функцию.
mysql_real_escape_string() вызывает библиотечную функцмю MySQL
mysql_real_escape_string, которая добавляет обратную косую черту к следующим
символам: x00 , n , r , , ', " и x1a .
Эта функция должна всегда (за несколькими исключениями) использоваться для
того, чтобы обезопасить данные, вставляемые в запрос перед отправкой его в
MySQL.
Предостережение
Безопасность: кодировка символов по умолчанию
Кодировка символов должна устанваливаться как на сервере, так
и с помощью функции mysql_set_charset() , чтобы влиять на
поведение mysql_real_escape_string()
array 
28 Июля 2013
Скиталец (28 Июля 2013):
Jvk35, приятель это тоже не фльтр :-)
Скиталец, ты придумал какой-то новый изощренный фильтр?Jvk35, приятель это тоже не фльтр :-)
Скиталец 
28 Июля 2013
Jvk35 (3 Мая 2013):
PHP_CODING, вот ещё $msg=$_POST['msg']; фильтрируется так $msg=mysql_real_escape_string($_POST['msg']);
Jvk35, приятель это тоже не фльтр :-)PHP_CODING, вот ещё $msg=$_POST['msg']; фильтрируется так $msg=mysql_real_escape_string($_POST['msg']);
VHlam 28 Июля 2013if(isset($_GET['ololo']))
{
echo 'Бу-гагагаг';
}
echo '<a href='Тут мего дыра'>А тут ваще капец,</a>';
Шутка )) все тут ок
Скиталец 28 Июля 2013
PHP_CODING (3 Мая 2013):
Jvk35, вот те пример дыры (то что ты писал это бэкдоры):
$status=$_POST['status'] - сдесь дыра.
А надо так
$status=htmlspecialchars($_POST['status']);
PHP_CODING, оторви руки по плечи тому кто тебе такой способ закрыть дыры написал Jvk35, вот те пример дыры (то что ты писал это бэкдоры):
$status=$_POST['status'] - сдесь дыра.
А надо так
$status=htmlspecialchars($_POST['status']);
Это ты сейчас всего лиш запрос грамотно сформулировал, а если уязвимость есть, (в коде не понятно) то этот твой "фильтр" тебя не откачает :-) флиртовать нужно не спец символы как это сделал ты на примере потому что в виде хэша они всё равно пройдут, а в движке социал это вообще дохлый номер... Нужно включать флиры открытых запросов и не так как делают это нынешние мастера (закинут в папку фнк файл с защитой и довольны запуская ее функцией ) а надо коплексно хорошо бы вообще заменить имена таблиц и переменных и ограничить доступ ко всем панелям админа не только по допуску но и по level так как во всех дцмс часто вылетает сессия вот тогда ты точно снизиш вероятность взлома процентов на 70 только и этого мало многие авторы модулей вкладывают аплоды актом (прямую загрузку файлов в корень) от такой язвы тебя ничего не спасет так что внимательно проверяй скрипт пдред тем как на сайт его поставить вроде всё...
