#981 2011.12.11 21:22

POFIGISST
Участник
Зарегистрирован: 2011.03.20
Сообщений: 1531
Карма: 6
Профиль

Re: скучно епт...

вот такой у мя идет запрос с инъекцией

Код:

1
mysql_query("INSERT INTO `gifts` (`id_user`, `ot_id`, `text`, `time`, `id_gifts`) values('$ank[id]', '$user[id]', '$msg', '$time', '$pid')",$db);

сейчас экранирую его,и скину в тему,а то могу не правильно что-то сделать(
Добавлено спустя   3 минуты  42 секунды:
вот так я сделал

Код:

1
mysql_query("INSERT INTO `gifts` (`id_user`, `ot_id`, `text`, `time`, `id_gifts`) values ('".mysql_real_escape_string($ank[id])."', '".mysql_real_escape_string($user[id])."', '".mysql_real_escape_string($msg)."', '".mysql_real_escape_string($time)."', '".mysql_real_escape_string($pid)."')",$db);

воспользовался советом))

Отредактировано POFIGISST (2011.12.11 21:27)

Неактивен

#982 2011.12.11 21:43

tipsun
Moderator
Зарегистрирован: 2009.10.14
Сообщений: 2277
Карма: 19
Профиль

Re: скучно епт...

Ну вроде все правильно smile

Неактивен

#983 2011.12.11 21:48

POFIGISST
Участник
Зарегистрирован: 2011.03.20
Сообщений: 1531
Карма: 6
Профиль

Re: скучно епт...

еще осталось 5 инъекций убрать,и около 4 хсс))

Неактивен

#984 2011.12.11 21:49

tipsun
Moderator
Зарегистрирован: 2009.10.14
Сообщений: 2277
Карма: 19
Профиль

Re: скучно епт...

xss - это вроде и есть инъекция, не?
Добавлено спустя   3 минуты  32 секунды:
А shell - это вроде загрузка картинки, в которой содержится злоКод. Или насчет этого я тоже ошибаюсь?

Отредактировано tipsun (2011.12.11 21:49)

Неактивен

#985 2011.12.11 21:55

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6594
Карма: 107
Профиль Веб-сайт

Re: скучно епт...

$user[id]
тут id - константа.
php ищет ее и не находит и создает строковое значение id.
короче, возьми в кавычки.

Неактивен

#986 2011.12.11 21:57

POFIGISST
Участник
Зарегистрирован: 2011.03.20
Сообщений: 1531
Карма: 6
Профиль

Re: скучно епт...

tipsun написал:

xss - это вроде и есть инъекция, не?
Добавлено спустя   3 минуты  32 секунды:
А shell - это вроде загрузка картинки, в которой содержится злоКод. Или насчет этого я тоже ошибаюсь?

shell бывает не только в виде картинки,даже на оборот в виде картинки он не часто бывает,а обычно в файле с форматом php ) поэтому везде стоит запрет на выгрузку файлов с форматом пхп))

инъекция это вытаскивание данных из базы,например данные админа, а хсс бывают активные и пассивные))

Неактивен

#987 2011.12.11 22:04

tipsun
Moderator
Зарегистрирован: 2009.10.14
Сообщений: 2277
Карма: 19
Профиль

Re: скучно епт...

Ойбле. Чего только не бывает. smile
Добавлено спустя   6 минут  9 секунд:
Думал аву на чайник поменять, но хахмовая подпись пришла в голову к аве big_smile

Отредактировано tipsun (2011.12.11 22:04)

Неактивен

#988 2011.12.11 22:45

POFIGISST
Участник
Зарегистрирован: 2011.03.20
Сообщений: 1531
Карма: 6
Профиль

Re: скучно епт...

Gemorroj
Спасибо за подсказкуsmile
Добавлено спустя   1 минуту  1 секунду:
паро хсс и инъекций закрыл,проверяю файлы сервисом http://find-xss.net/scanner/ х.з. на сколько он точно показывает уязвимости(

Неактивен

#989 2011.12.13 07:19

TLENS
Moderator
Откуда: Украина
Зарегистрирован: 2009.04.05
Сообщений: 2402
Карма: 14
Профиль

Re: скучно епт...

Один американский господин прикупил коробочку очень дорогих и редких сигар. Таких дорогих и редких, что он их даже застраховал, среди всего прочего и от пожара. Через месяц сигары уже кончились, а он даже не внес первый взнос по полису. Это не помешало ему обратиться в страховую компанию с заявлением, что сигары были утрачены в связи с «серией маленьких пожаров» (тут надо понимать, что в английском «огонь» и «пожар» обозначаются одним словом fire — прим, переводчика). Компания платить отказалась, резонно ответив, что, собственно, он употребил сигары самым естественным для сигар образом. Что же, господин обратился в суд и выиграл дело. В судебном решении судья признал, что исковое заявление, прямо скажем, несерьезно, но в то же время в наличии имеется полис, сигары застрахованы от огня, и этот полис не определяет «желательность» или «допустимость» каких-либо видов огня. Так что страховщикам следует заплатить. Страховщики не стали заморачиваться с долгими и дорогостоящими апелляциями и выплатили 15000 долларов за «сгоревшие» сигары. Впрочем, насладиться новыми халявными сигарами не удалось, поскольку сразу после получения наличных по чеку этот господин был арестован. На основании того же полиса и своих же свидетельских показаний на суде, он был обвинен в 24 эпизодах умышленного уничтожения застрахованного имущества через поджог. Итог нового процесса — 24 месяца тюрьмы и 24000 долларов штрафа…

Неактивен

#990 2011.12.14 00:44

POFIGISST
Участник
Зарегистрирован: 2011.03.20
Сообщений: 1531
Карма: 6
Профиль

Re: скучно епт...

TLENS
улыбнул рассказикbig_smile
Добавлено спустя   5 минут  43 секунды:
Посоветуйте как поступить,у мя в топе регнут сайт http://svb.hak.su , все счетчики на этом сайте стоят с измененным размером,то есть уменьшены они,админу нписал чтоб он не занимался фигней,на что он мне ответил,что у него все без нарушений идет,то есть он сказал что в правилах у топов написано "Запрещено менять код счетчика" у него на сайте я смотрел,сначала думал что в коде счетчика он ставит размер изображения,что то типа 1х1 ,потом посмотрел код страницы,и там видно,что коды счетчиков не изменены,он в диве задал размер картинок,и х.з. что с ним делать,банить его сайт в топе или нет,ведь код счетчика он не менял как написано в правилах,что посоветуете банить его или нет? сейчас в правилах допишу,что изменение размер счетчика любыми способами запрещено,и будет считаться как нарушение правил)

Неактивен

Дополнительно

forum.wapinet.ru

PunBB Mod v0.6.2
0.028 s