помогите пожалуйста
 

короче проблема в слабой защите..
скрипт - бразуерная игра..
сайт - где то пол года назад пришлось закрыть, из за того, что несколько людей чуть ли не каждый день безпределили в игре..
после отключения решил переписать под регистр глобалс офф и повыставлял фильтрацию... сейчас хочется узнать уровень защищенности движка.. кто сможет помчь помогите пожалуйста, а то чел мне в аську в открытую писал что охотится за моей базой от скрипта.. если открою внешку думаю он начнет атаки.. а если неоткрывать то ... без внешки народу мало в игре.. прошу очень помочь.. вот ссылка на скрипт http://all3.ws очень надеюсь на вашу помошь
интересуют любые уязвимости..
сделал игровые сервисы относительно быстрее
всем проявившим активность буду очень признателен!! заранее спасибо

Раскрытие путей
http://all3.ws/instinkt/encicl.php?otdel=23
-----------
Сервер лагает жутко =\

В поле логина лучше фильтрация поставь, а то <script>alert()</script> фильтрует, а <script>qwe</script> нет... а вдруг что...

BlackSun, Tigger, во 1ых большое человеческое спасибо, за желание помогать
по делу:
это исправил, к сожалению причиной этого стало то, что файл который инклудится содержал закодированный текст + антивирь его удалил.. поэтому файла небыло на месте.. раньше когда работала внешка - мне каждый день вешали на несколько файлов такие коды - там были фреймы на какие то левые сайты - в результате пользователи заражали компы при входе страницу с этим фреймом :( воть..

у меня хтмл теги экранируются.. думаю это не страшно,

ребята, еще раз спасибо, кто еще может помогите, поучавствуйте в проверке. просто надоело держать проект в страхе что в любой момент челу взбредить рубануть все и он это сделает... ну или заразить компы :(
заранее спасибо, буду ждать еще сообщений

nastavnik.php, ambulance_t.php - ошибка в синтаксисе, как результат - раскрытие путей

1ый файлик исправил, а 2ой чето у меня вроде неругается чтоб пути увидеть.. правда ненмого подглючивает..видимо все из за этого регистр глобалс офф.. т.к. скрипт немного косячит все же..

кто нибудь может поискать уязвимости типа - xss, sql-inj и тд?

BlackSun: не зачем апать топик по сто раз на дню, если ничего не пишут - значит пока ничего не найдено.

http://all3.ws/instinkt/log.txt
http://all3.ws/instinkt/phpinfo.php
http://all3.ws/instinkt/phpinfo.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
еще в регистрации поля password,password2,deviz,city в этих полях xss
почисти
http://all3.ws//instinkt/inc/forum/
раскрытие путей
http://all3.ws/instinkt/i/work/?D=A
http://all3.ws/instinkt/skins/?D=A

спасибо за участие в моем вопросе.. часть пофиксил..часть на завтра оставил..только один вопросик к тебе.. как найти хсс в этих полях что ты писал? там у меня вроде фильтры стоят на это все.. ? можешь дать код который покажет уязвимость?

Во все поля - '>"><hr> и отправляй. Регистрация не пройдет, но скрипт вернет уже заполненную форму, часть полей будет заполнена без фильтрации.