скрипт - один из самых распрастраненых движков интернет магазина. сейчас сняли с продажи, так как запустили новый скрипт. но shop-script 'ом все еще активно пользуются и не спешат переходить на новый продукт.

magic_quotes_gpc = OFF

Sql Injection:
проверка на уязвимость:
если товар (любой) добавился то сайт уязвим

уязвимая переменная add2cart
так как поля не выводятся то вытащить пароль админа можно перебором по буковке.
пароль зашифрован base64 тоесть открыт
логин не зашифрован, в 99.9% админ это юсер с customerID=1
и в 80% его логин admin

google: inurl:"index.php?feedback=yes"
примерно 1500 сайтов


приведен реальный пример уязвимого сайта


кстати для тех кто взламал логин/пароль магазина: добавить шелл можно через добавление нового товара. просто указываете что товар является програмой. в путь выбираете любой файл шелла
не забудьте перед тем как добавить шелл залить файл .htaccess со значением Allow from all