Добро пожаловать, Гость!
Ворос на пять рублей
PHP/MySQL | Ворос на пять рублей



Ворос на пять рублей
4 Марта 2014Доброго времени суок!Если не затруднит подскажите где в низ лежащем коде есть уязвимость и есть ли она
<? $ank['vopros']=esc(stripcslashes(htmlspecialchars($_POST['vopros'])));
$ank['variant1']=esc(stripcslashes(htmlspecialchars($_POST['variant1'])));
$ank['variant2']=esc(stripcslashes(htmlspecialchars($_POST['variant2'])));
$ank['variant3']=esc(stripcslashes(htmlspecialchars($_POST['variant3'])));
$ank['variant4']=esc(stripcslashes(htmlspecialchars($_POST['variant4'])));
$ank['otvet']=$_POST['otvet'];
$ank['balls']=$_POST['balls'];
mysql_query("INSERT INTO `wiktorina_vopros` (`vopros`, `variant1`, `variant2`, `variant3`, `variant4`, `otvet`, `balls`) values ('".$ank['vopros']."', '".$ank['variant1']."', '".$ank['variant2']."', '".$ank['variant3']."', '".$ank['variant4']."', '".$ank['otvet']."', '".$ank['balls']."')",$db); ?>
Комментарии:



ZooMERS, а это типа нет $ank['otvet']=$_POST['otvet']; ?
______________________
Я есть сущность



Автор темы
Saint, Совершенно согласен с Вами,поэтому прадавцу даже шанс дал,ну мало ли...Даже вырезал куски кода,делал скрин показывал примеры,вообщем за три дня моё мировозрение чуть ли неизменилось)) Да там стоит профильровать abs(intval что бы не передалось отрицательное значение.



Феном, бл далеко не показатель ,но допустить такую уязвимость могут ,только те кто не знает что такое уязвимость .
-------
Кстати там ниже верно написано ,баллы лучше всего фильтровать intval() да и все числовые значения .
-----
А уже текст фильтровать через mysql_real_escape_string()
в дцмс он используется в виде функции my_esc() .
______________________
Я есть сущность



Автор темы
Saint, Благодарю и Вас,дак дело в том что эта бридятина продаётся,да неповерите купил себе дырку у спеца продавца с бл аж 4 ))



vitja_shijan (3 Марта 2014):
код полностю чистый, можешь быть спокоен
vitja_shijan, А потом вы жалуетесь ,что вас ломают пабл вы не ставили и дырок не допускали . И ищите потом крайних . а вина на вас самих .код полностю чистый, можешь быть спокоен
______________________
Я есть сущность