|
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
С нами:
10483586
Репутация:
5826
|
|
Сообщение от Велемир
Если кавычка превращается в хтмл сущность оной,пусть инезаметно для меня,то инжект нельзя провести ?
Если кавчка заменяется html сущностями, то это уже не кавычка и ничего ты ею не сделаешь.
P.S. кстати скрипт бажный.
Слеши как я понял не экранируются, можно их заюзать:
* тут немного не правильно написал, см мой пост ниже.
Код:
mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='$url', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='$email', type=0;") or die(mysql_error());
к примеру:
$url = \
$email = cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email=(select version()), type=0; -- 1
Получиться:
Код:
mysql_query("INSERT INTO main SET title='$ttitle', description='$description', url='\', cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email='cat1='$c1', cat2='0', cat3='0', gin=0, gout=0, moder_vote=0, email=(select version()), type=0; -- 1', type=0;") or die(mysql_error());
Последний раз редактировалось Grey; 14.06.2009 в 03:07..
|