11.08.2014, 22:05
|
|
Новичок
Регистрация: 29.09.2010
Сообщений: 8
Провел на форуме:
1593
Репутация:
1
|
|
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]$data[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]array_reverse[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]explode[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"\x22"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]mysql_real_escape_string[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]substr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$data[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]strpos[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$data[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"\x22"[/COLOR][COLOR="#007700"])+[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]))));[/COLOR][/COLOR]
и далее
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]UPDATE users SET data[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'$data[1]'[/COLOR][/COLOR]
Есть вариант пихнуть что-то такое, чтобы можно было обойти экранирование кавычек и провести SQL-инжект? |
|
|