Добро пожаловать, Гость!
Ворос на пять рублей
PHP/MySQL | Ворос на пять рублей
Феном 
: Ворос на пять рублей
4 Марта 2014Доброго времени суок!Если не затруднит подскажите где в низ лежащем коде есть уязвимость и есть ли она
<? $ank['vopros']=esc(stripcslashes(htmlspecialchars($_POST['vopros'])));
$ank['variant1']=esc(stripcslashes(htmlspecialchars($_POST['variant1'])));
$ank['variant2']=esc(stripcslashes(htmlspecialchars($_POST['variant2'])));
$ank['variant3']=esc(stripcslashes(htmlspecialchars($_POST['variant3'])));
$ank['variant4']=esc(stripcslashes(htmlspecialchars($_POST['variant4'])));
$ank['otvet']=$_POST['otvet'];
$ank['balls']=$_POST['balls'];
mysql_query("INSERT INTO `wiktorina_vopros` (`vopros`, `variant1`, `variant2`, `variant3`, `variant4`, `otvet`, `balls`) values ('".$ank['vopros']."', '".$ank['variant1']."', '".$ank['variant2']."', '".$ank['variant3']."', '".$ank['variant4']."', '".$ank['otvet']."', '".$ank['balls']."')",$db); ?>
Комментарии:
Saint
3 Марта 2014ZooMERS, а это типа нет $ank['otvet']=$_POST['otvet']; ?
______________________
Я есть сущность
Феном 3 Марта 2014Автор темы
Saint, Совершенно согласен с Вами,поэтому прадавцу даже шанс дал,ну мало ли...Даже вырезал куски кода,делал скрин показывал примеры,вообщем за три дня моё мировозрение чуть ли неизменилось)) Да там стоит профильровать abs(intval что бы не передалось отрицательное значение.
Saint
3 Марта 2014Феном, бл далеко не показатель ,но допустить такую уязвимость могут ,только те кто не знает что такое уязвимость .
-------
Кстати там ниже верно написано ,баллы лучше всего фильтровать intval() да и все числовые значения .
-----
А уже текст фильтровать через mysql_real_escape_string()
в дцмс он используется в виде функции my_esc() .
______________________
Я есть сущность
Феном 3 Марта 2014Автор темы
Saint, Благодарю и Вас,дак дело в том что эта бридятина продаётся,да неповерите купил себе дырку у спеца продавца с бл аж 4 ))
Saint
3 Марта 2014
vitja_shijan (3 Марта 2014):
код полностю чистый, можешь быть спокоен
vitja_shijan, А потом вы жалуетесь ,что вас ломают пабл вы не ставили и дырок не допускали . И ищите потом крайних . а вина на вас самих .код полностю чистый, можешь быть спокоен
______________________
Я есть сущность
