Добро пожаловать, Гость!
Ворос на пять рублей
PHP/MySQL | Ворос на пять рублей
Феном :
Доброго времени суок!Если не затруднит подскажите где в низ лежащем коде есть уязвимость и есть ли она
<? $ank['vopros']=esc(stripcslashes(htmlspecialchars($_POST['vopros'])));
$ank['variant1']=esc(stripcslashes(htmlspecialchars($_POST['variant1'])));
$ank['variant2']=esc(stripcslashes(htmlspecialchars($_POST['variant2'])));
$ank['variant3']=esc(stripcslashes(htmlspecialchars($_POST['variant3'])));
$ank['variant4']=esc(stripcslashes(htmlspecialchars($_POST['variant4'])));
$ank['otvet']=$_POST['otvet'];
$ank['balls']=$_POST['balls'];
mysql_query("INSERT INTO `wiktorina_vopros` (`vopros`, `variant1`, `variant2`, `variant3`, `variant4`, `otvet`, `balls`) values ('".$ank['vopros']."', '".$ank['variant1']."', '".$ank['variant2']."', '".$ank['variant3']."', '".$ank['variant4']."', '".$ank['otvet']."', '".$ank['balls']."')",$db); ?>
Ворос на пять рублей
4 Марта 2014Доброго времени суок!Если не затруднит подскажите где в низ лежащем коде есть уязвимость и есть ли она
<? $ank['vopros']=esc(stripcslashes(htmlspecialchars($_POST['vopros'])));
$ank['variant1']=esc(stripcslashes(htmlspecialchars($_POST['variant1'])));
$ank['variant2']=esc(stripcslashes(htmlspecialchars($_POST['variant2'])));
$ank['variant3']=esc(stripcslashes(htmlspecialchars($_POST['variant3'])));
$ank['variant4']=esc(stripcslashes(htmlspecialchars($_POST['variant4'])));
$ank['otvet']=$_POST['otvet'];
$ank['balls']=$_POST['balls'];
mysql_query("INSERT INTO `wiktorina_vopros` (`vopros`, `variant1`, `variant2`, `variant3`, `variant4`, `otvet`, `balls`) values ('".$ank['vopros']."', '".$ank['variant1']."', '".$ank['variant2']."', '".$ank['variant3']."', '".$ank['variant4']."', '".$ank['otvet']."', '".$ank['balls']."')",$db); ?>
Комментарии:
Saint
3 Марта 2014
ZooMERS, а это типа нет $ank['otvet']=$_POST['otvet']; ?
______________________
Я есть сущность
ZooMERS, а это типа нет $ank['otvet']=$_POST['otvet']; ?
______________________
Я есть сущность
Феном 3 Марта 2014
Автор темы
Saint, Совершенно согласен с Вами,поэтому прадавцу даже шанс дал,ну мало ли...Даже вырезал куски кода,делал скрин показывал примеры,вообщем за три дня моё мировозрение чуть ли неизменилось)) Да там стоит профильровать abs(intval что бы не передалось отрицательное значение.
Автор темы
Saint, Совершенно согласен с Вами,поэтому прадавцу даже шанс дал,ну мало ли...Даже вырезал куски кода,делал скрин показывал примеры,вообщем за три дня моё мировозрение чуть ли неизменилось)) Да там стоит профильровать abs(intval что бы не передалось отрицательное значение.
Saint
3 Марта 2014
Феном, бл далеко не показатель ,но допустить такую уязвимость могут ,только те кто не знает что такое уязвимость .
-------
Кстати там ниже верно написано ,баллы лучше всего фильтровать intval() да и все числовые значения .
-----
А уже текст фильтровать через mysql_real_escape_string()
в дцмс он используется в виде функции my_esc() .
______________________
Я есть сущность
Феном, бл далеко не показатель ,но допустить такую уязвимость могут ,только те кто не знает что такое уязвимость .
-------
Кстати там ниже верно написано ,баллы лучше всего фильтровать intval() да и все числовые значения .
-----
А уже текст фильтровать через mysql_real_escape_string()
в дцмс он используется в виде функции my_esc() .
______________________
Я есть сущность
Феном 3 Марта 2014
Автор темы
Saint, Благодарю и Вас,дак дело в том что эта бридятина продаётся,да неповерите купил себе дырку у спеца продавца с бл аж 4 ))
Автор темы
Saint, Благодарю и Вас,дак дело в том что эта бридятина продаётся,да неповерите купил себе дырку у спеца продавца с бл аж 4 ))
Saint
3 Марта 2014
______________________
Я есть сущность
vitja_shijan (3 Марта 2014):
код полностю чистый, можешь быть спокоен
vitja_shijan, А потом вы жалуетесь ,что вас ломают пабл вы не ставили и дырок не допускали . И ищите потом крайних . а вина на вас самих .код полностю чистый, можешь быть спокоен
______________________
Я есть сущность