Добро пожаловать, Гость!
Тема закрыта для обсуждения
Проверка на уязвимости! - Страница 4
Архив закрытых тем | Проверка на уязвимости!
Svituk 
: Проверка на уязвимости!
30 Окт 2013Всем привет! Проверяю модули на XSS и SQLi! Устраняю с подробным отчетом: что ,где ,как! Для проверки моих знаний можете кинуть сюда один модуль! Дальше услуга платна! Обращатся в лычку! Сразу скажу что коплю деньги на сервак и поетому предлагаю свои услуги!
К стати в чистом социале 1.7.5 ничего подобного ненаходил!Тема закрыта Cистема
Комментарии:
by HASANOV 29 Окт 2013Svituk, не знаю кто автор этого мода но он думал защитить символы в коды с mysql_real_escape_string это не безапасно 50%50
Svituk 29 Окт 2013Автор темы
by HASANOV (29 Окт 2013):
Svituk, у меня вопрос к этой mysql_real_escape_string вызов SQL нафига туда поставили?
by HASANOV, не понял вопрос! Имеешь в виду что етот вызов выполняет?mysql_query("INSERT INTO `comm` (`name`, `desc`, `id_cat`, `id_user`, `time`) VALUES ('$name', '$desc', '$cat[id]', '$user[id]', '".time()."')"); Чтот выводит но что именно не пойму! Вроде Имя время создания сообшества!Чтот в етом духе!Svituk, у меня вопрос к этой mysql_real_escape_string вызов SQL нафига туда поставили?
by HASANOV 29 Окт 2013Svituk, у меня вопрос к этой mysql_real_escape_string вызов SQL нафига туда поставили?
Svituk 29 Окт 2013Автор темы
Или $name Может не содержать специальные символы?
Может но не обязательно! Поетому типа как бы на всяк пожарный, фильтр имен!!! Иначе незнаю как те обьяснить! Svituk 29 Окт 2013Автор темы
by HASANOV (29 Окт 2013):
Svituk, Вот первая иньекцыя /comm/inc/
act_add_comm.php
mysql_query("INSERT INTO `comm` (`name`,
`desc`, `id_cat`, `id_user`, `time`) VALUES
('$name', '$desc', '$cat[id]', '$user[id]', '".time
()."')");
mysql_real_escape_string ←Экранирует специальные символы
by HASANOV, Типа прогуглил??? Svituk, Вот первая иньекцыя /comm/inc/
act_add_comm.php
mysql_query("INSERT INTO `comm` (`name`,
`desc`, `id_cat`, `id_user`, `time`) VALUES
('$name', '$desc', '$cat[id]', '$user[id]', '".time
()."')");
mysql_real_escape_string ←Экранирует специальные символы
Вот так должно быть! mysql_query("INSERT INTO `comm` (`name`, `desc`, `id_cat`, `id_user`, `time`) VALUES ('".mysql_real_escape_string($name)."', '$desc', '$cat[id]', '$user[id]', '".time()."')"); by HASANOV 29 Окт 2013Svituk, Вот первая иньекцыя /comm/inc/
act_add_comm.php
mysql_query("INSERT INTO `comm` (`name`,
`desc`, `id_cat`, `id_user`, `time`) VALUES
('$name', '$desc', '$cat[id]', '$user[id]', '".time
()."')");
mysql_real_escape_string ←Экранирует специальные символы
