Добро пожаловать, Гость!
* Войти Зарегистрироваться
:: + Добавить ссылку через биллинг :: + Добавить ссылку анонимно
Ворос на пять рублей - Страница 1
PHP/MySQL | Ворос на пять рублей
Феном * :

Ворос на пять рублей

4 Марта 2014
Доброго времени суок!Если не затруднит подскажите где в низ лежащем коде есть уязвимость и есть ли она

<? $ank['vopros']=esc(stripcslashes(htmlspecialchars($_POST['vopros'])));
$ank['variant1']=esc(stripcslashes(htmlspecialchars($_POST['variant1'])));
$ank['variant2']=esc(stripcslashes(htmlspecialchars($_POST['variant2'])));
$ank['variant3']=esc(stripcslashes(htmlspecialchars($_POST['variant3'])));
$ank['variant4']=esc(stripcslashes(htmlspecialchars($_POST['variant4'])));
$ank['otvet']=$_POST['otvet'];
                $ank['balls']=$_POST['balls'];
                                                                   mysql_query("INSERT INTO `wiktorina_vopros` (`vopros`, `variant1`, `variant2`, `variant3`, `variant4`, `otvet`, `balls`) values ('".$ank['vopros']."', '".$ank['variant1']."', '".$ank['variant2']."', '".$ank['variant3']."', '".$ank['variant4']."', '".$ank['otvet']."', '".$ank['balls']."')",$db); ?>


Статистика WMID автора:
* 886383331340 BL
Претензии | Отзывы
Комментарии:
ZooMERS 4 Марта 2014
Saint, я провирял работы владиатора
* Saint * 3 Марта 2014
ZooMERS, а это типа нет $ank['otvet']=$_POST['otvet']; ?
______________________
Я есть сущность
ZooMERS 3 Марта 2014

<?php
$ank['balls']=$_POST['balls']; ?>



Феном * 3 Марта 2014
Автор темы
Saint, Совершенно согласен с Вами,поэтому прадавцу даже шанс дал,ну мало ли...Даже вырезал куски кода,делал скрин показывал примеры,вообщем за три дня моё мировозрение чуть ли неизменилось)) Да там стоит профильровать abs(intval что бы не передалось отрицательное значение.
* Saint * 3 Марта 2014
Феном, бл далеко не показатель ,но допустить такую уязвимость могут ,только те кто не знает что такое уязвимость .
-------
Кстати там ниже верно написано ,баллы лучше всего фильтровать intval() да и все числовые значения .
-----
А уже текст фильтровать через mysql_real_escape_string()
в дцмс он используется в виде функции my_esc() .
______________________
Я есть сущность
Феном * 3 Марта 2014
Автор темы
Saint, Благодарю и Вас,дак дело в том что эта бридятина продаётся,да неповерите купил себе дырку у спеца продавца с бл аж 4 ))
* Saint * 3 Марта 2014
vitja_shijan (3 Марта 2014):
код полностю чистый, можешь быть спокоен
vitja_shijan, А потом вы жалуетесь ,что вас ломают пабл вы не ставили и дырок не допускали . И ищите потом крайних . а вина на вас самих .
______________________
Я есть сущность
1 2 3 >
*
* Форум | WAP/WEB мастеру | PHP/MySQL
DCMS-Social.ru - движок социальной сети, вап и веб мастерская, файло-обменник и форум.
Статистика DCMS-Social.ru: Пользователей - 14967, тем на форуме - 30292, сообщений - 298886
Размещение рекламы
PGen: 0.117сек
© 2012 - 2024 гг.
www.megastock.com Statok.net GiStaT.RU - Рейтинг мобильных сайтов KatStat.ru - Топ рейтинг сайтов