Sql injection

Скрипт:

PHP код:

http://1024/admin/ops/email/default.php 


Обиженный параметр: id.Буквально в каждой функции(add,reply и т.д.).Наверное,это объясняется тем,что фильтрация там не нужна...в плане того,что админ акками никто не бросается ).




Активная XSS

Не помню,в каком скрипте,где-то на индексной странице скрипта /admin/index.php

Прописывать код там,где выводится надпись по умолчанию: Sorry our site is currently offline for maintenance