18.10.2009, 21:01
|
|
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
С нами:
10692266
Репутация:
3486
|
|
Сообщение от SeNaP
Код:
$text=$_POST['text'];
$tr=$_POST['tr'];
$tr_text=$_POST['tr_text'];
if (empty($text)){echo"<div class=cont1>Введите ключевое слово!<br/></div><div class=menu><a href=\"search.php\">Назад</a></div>";
include "footer.php";
exit;}
if($tr_text==1){include_once "trans.php";
$text=eng_to_rus($text);}
//$text=strtolower($text);
if($tr==1){
$arr=mysql_query("select uid,site_name,link,info,cat from `users` where info like '%$text%' ;");
}
Возможно ли тут произвести SQL inj ?
Меня просто вот это смущает 
Код:
select uid,site_name,link,info,cat from `users` where info like '%$text%' ;
.php?tr=1&text=%' and info = -1 union select 1,2,3,4,5--+
ЗЫ l1ght, я знаю что постом) есть плагины которые позволяют из строки браузера отправлять постом
Последний раз редактировалось .Slip; 18.10.2009 в 21:25..
|
|
|