Вы не зашли.
вот такой у мя идет запрос с инъекцией
Код:
| mysql_query("INSERT INTO `gifts` (`id_user`, `ot_id`, `text`, `time`, `id_gifts`) values('$ank[id]', '$user[id]', '$msg', '$time', '$pid')",$db); |
сейчас экранирую его,и скину в тему,а то могу не правильно что-то сделать(
Добавлено спустя 3 минуты 42 секунды: вот так я сделал
Код:
| mysql_query("INSERT INTO `gifts` (`id_user`, `ot_id`, `text`, `time`, `id_gifts`) values ('".mysql_real_escape_string($ank[id])."', '".mysql_real_escape_string($user[id])."', '".mysql_real_escape_string($msg)."', '".mysql_real_escape_string($time)."', '".mysql_real_escape_string($pid)."')",$db); |
воспользовался советом))
Отредактировано POFIGISST (2011.12.11 21:09)
Ну вроде все правильно
еще осталось 5 инъекций убрать,и около 4 хсс))
xss - это вроде и есть инъекция, не?
Добавлено спустя 3 минуты 32 секунды: А shell - это вроде загрузка картинки, в которой содержится злоКод. Или насчет этого я тоже ошибаюсь?
Отредактировано tipsun (2011.12.11 21:09)
$user[id]
тут id - константа.
php ищет ее и не находит и создает строковое значение id.
короче, возьми в кавычки.
tipsun написал:
xss - это вроде и есть инъекция, не?
Добавлено спустя 3 минуты 32 секунды:
А shell - это вроде загрузка картинки, в которой содержится злоКод. Или насчет этого я тоже ошибаюсь?
shell бывает не только в виде картинки,даже на оборот в виде картинки он не часто бывает,а обычно в файле с форматом php ) поэтому везде стоит запрет на выгрузку файлов с форматом пхп))
инъекция это вытаскивание данных из базы,например данные админа, а хсс бывают активные и пассивные))
Ойбле. Чего только не бывает.
Добавлено спустя 6 минут 9 секунд: Думал аву на чайник поменять, но хахмовая подпись пришла в голову к аве
Отредактировано tipsun (2011.12.11 22:10)
GemorrojСпасибо за подсказку
Добавлено спустя 1 минуту 1 секунду: паро хсс и инъекций закрыл,проверяю файлы сервисом http://find-xss.net/scanner/ х.з. на сколько он точно показывает уязвимости(
Один американский господин прикупил коробочку очень дорогих и редких сигар. Таких дорогих и редких, что он их даже застраховал, среди всего прочего и от пожара. Через месяц сигары уже кончились, а он даже не внес первый взнос по полису. Это не помешало ему обратиться в страховую компанию с заявлением, что сигары были утрачены в связи с «серией маленьких пожаров» (тут надо понимать, что в английском «огонь» и «пожар» обозначаются одним словом fire — прим, переводчика). Компания платить отказалась, резонно ответив, что, собственно, он употребил сигары самым естественным для сигар образом. Что же, господин обратился в суд и выиграл дело. В судебном решении судья признал, что исковое заявление, прямо скажем, несерьезно, но в то же время в наличии имеется полис, сигары застрахованы от огня, и этот полис не определяет «желательность» или «допустимость» каких-либо видов огня. Так что страховщикам следует заплатить. Страховщики не стали заморачиваться с долгими и дорогостоящими апелляциями и выплатили 15000 долларов за «сгоревшие» сигары. Впрочем, насладиться новыми халявными сигарами не удалось, поскольку сразу после получения наличных по чеку этот господин был арестован. На основании того же полиса и своих же свидетельских показаний на суде, он был обвинен в 24 эпизодах умышленного уничтожения застрахованного имущества через поджог. Итог нового процесса — 24 месяца тюрьмы и 24000 долларов штрафа…
TLENSулыбнул рассказик
Добавлено спустя 5 минут 43 секунды: Посоветуйте как поступить,у мя в топе регнут сайт http://svb.hak.su , все счетчики на этом сайте стоят с измененным размером,то есть уменьшены они,админу нписал чтоб он не занимался фигней,на что он мне ответил,что у него все без нарушений идет,то есть он сказал что в правилах у топов написано "Запрещено менять код счетчика" у него на сайте я смотрел,сначала думал что в коде счетчика он ставит размер изображения,что то типа 1х1 ,потом посмотрел код страницы,и там видно,что коды счетчиков не изменены,он в диве задал размер картинок,и х.з. что с ним делать,банить его сайт в топе или нет,ведь код счетчика он не менял как написано в правилах,что посоветуете банить его или нет? сейчас в правилах допишу,что изменение размер счетчика любыми способами запрещено,и будет считаться как нарушение правил)
