14.08.2007, 15:34
|
|
Познавший АНТИЧАТ
Регистрация: 02.06.2006
Сообщений: 1,188
Провел на форуме:
6023777
Репутация:
2642
|
|
Сообщение от Marlboro_X
Огромное спасибо, всем по +!
А скриптами я не торгую, просто стянул демку и переписал под себя магаз.
Если не трудно. скажите как от этого всего защититься. Заранее благодарю.
Я писал по жтому поводу скрипты. Ещё раз напишу
XSS
PHP код:
<?
...
$_GET['уязвимое_поле'] = htmlspecialchars($_GET['уязвимое_поле']);
...
?>
PHP-inj
PHP код:
<?
error_reporting(0);
...
function inc($do,$inc,$posle)
{
$inc = htmlspecialchars($inc);
if(file($do.$inc.$posle))
{
$inc = str_replace('http','',$inc);
$inc = str_replace('ftp','',$inc);
$inc = str_replace(':','',$inc);
$inc = str_replace('/','',$inc);
$inc = str_replace('\\','',$inc);
$inc = str_replace('.','',$inc);
include($do.$inc.$posle);
}
else echo 'Файла не существует';
}
...
if($_GET['page']) inc('',$_GET['page'],'.php');
...
?>
SQL-inj:
PHP код:
<?
...
function secure_sql($value) {
if( get_magic_quotes_gpc() ) {
$value = stripslashes( $value );
}
if( function_exists( "mysql_real_escape_string" ) ) {
$value = mysql_real_escape_string( $value );
} else {
$value = addslashes( $value );
}
return $value;
}
...
?>
|
|
|