Вот такую дрянь прислали, что посоветуйте сделать, как закрыть?

http://www.site.ru/?go=katalog&catid=-5189+UNION+SELECT+1,2,3,concat_ws(0x3a,VERSION(),D ATABASE(),USER()),5,6,7,8,9,10,11,12,13,14/*

:confused:

Чтобы исключить возможность SQL-inj делай фильтрацию входящих данных. Т.е примерно так:

<?php
$baddata = array("UNION",
"OUTFILE",
"FROM",
"SELECT",
"WHERE",
"SHUTDOWN",
"UPDATE",
"DELETE",
"CHANGE",
"MODIFY",
"RENAME",
"RELOAD",
"ALTER",
"GRANT",
"DROP",
"INSERT",
"CONCAT",
"cmd",
"exec",
"--",
// HTML LINE
"\([^>]*\"?[^)]*\)",
"<[^>]*body*\"?[^>]*>",
"<[^>]*script*\"?[^>]*>",
"<[^>]*object*\"?[^>]*>",
"<[^>]*iframe*\"?[^>]*>",
"<[^>]*img*\"?[^>]*>",
"<[^>]*frame*\"?[^>]*>",
"<[^>]*applet*\"?[^>]*>",
"<[^>]*meta*\"?[^>]*>",
"<[^>]*style*\"?[^>]*>",
"<[^>]*form*\"?[^>]*>",
"<[^>]*div*\"?[^>]*>");
foreach($baddata as $badkey => $badvalue){
if(is_string($inputdata) && eregi($badvalue,$inputdata)){ $badcount=1; }
}
/* ... */
if($badcount==1){
/* ... */
}
?>

Чтобы исключить возможность SQL-inj делай фильтрацию входящих данных. Т.е примерно так:



А если криптованая?

ОМГ

Чтобы исключить возможность SQL-inj делай фильтрацию входящих данных. Т.е примерно так:
Ппц чувак.. Жесть какая :)
Читай тут: https://forum.antichat.ru/thread30641.html

Ппц чувак.. Жесть какая :)
Читай тут: https://forum.antichat.ru/thread30641.html
Действительно всё намного легче :D Спасибо

Объявляю скуль торжественно закрытой. как те вариант?=)

Qwazar, спаибо!

Кстати, что с поиском? У кого нить работает? Или это только у меня?