27.12.2011, 19:42
|
|
Участник форума
Регистрация: 01.12.2011
Сообщений: 120
Провел на форуме:
29020
Репутация:
55
|
|
Есть такой кусок кода
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#FF8000"]// Check IP From IP Logging Database
[/COLOR][COLOR="#0000BB"]$get_voted_aids[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$wpdb[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]get_col[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT pollip_aid FROM[/COLOR][COLOR="#0000BB"]$wpdb[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]pollsip[/COLOR][COLOR="#DD0000"]WHERE pollip_qid =[/COLOR][COLOR="#0000BB"]$poll_id[/COLOR][COLOR="#DD0000"]AND pollip_ip = '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]get_ipaddress[/COLOR][COLOR="#007700"]().[/COLOR][COLOR="#DD0000"]"'[/COLOR][COLOR="#0000BB"]$log_expiry_sql[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"]);
[/COLOR][/COLOR]
в функции get_ipaddress() есть возможность подставить свои данные вместо ip, однако вконце все это дело обрабатывается функцией esc_attr() (подробней тут http://wp-kama.ru/function/esc_attr), она преобразует знаки в html сущности: & " ', может есть все же какой вариант выйти из запроса и провести sql inj, или я опять в пролете ? |
|
|