ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
07.04.2008, 11:42
|
|
Участник форума
Регистрация: 31.12.2007
Сообщений: 279
Провел на форуме:
1725509
Репутация:
114
|
|
Подозрение на SQL inj http://alhimiya.in/shop/index.php?do=buy Очень страно себя ведёт... Пишу 1 пишет нет средств, пишу 1+ORDER+BY+1/* снова нет средств пишу 1+ORDER+BY+111111111/* и опять таки нет средств, intval? Но я пишу 0, оно ничё не выводит, пишу 0/* пишет Покупка совершена! М?
То что ты туда вводишь проходит черер mysql_real_escape_string , но спасибо.. это исправлю обязательно...
|
|
|
07.04.2008, 12:01
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
-=Zhenek=-, ты чё! Числа надо пропускать через intval() а если mysql_real_escape_string то надо брать в MySQL в ковычки число, mysql_real_escape_string не поможет от SQL Inj с цифрами, только со строками поможет, а чтоб сделать число строкой как я уже сказал бери его в MySQL в ковычки
Во избежания возникновения баянских вопросов:
ты делаеш так
$s = mysql_real_escape_string($_GET['s']);
mysql_query("SELECT `a`,`b`,`c` FROM `lol` WHERE `id` = $s");
передаём в s "-1+UNION+SELECT+1,2,3/*" скуля! Чтоб этого небыло либо
$s = intval($_GET['s']);
либо
mysql_query("SELECT `a`,`b`,`c` FROM `lol` WHERE `id` = '$s'");
Последний раз редактировалось Ponchik; 07.04.2008 в 12:03..
|
|
|
|
07.04.2008, 14:47
|
|
Участник форума
Регистрация: 31.12.2007
Сообщений: 279
Провел на форуме:
1725509
Репутация:
114
|
|
Х**себе http://alhimiya.in/shop/index.php?del=3&id=1 Пользователь успешно удалён?
Я пацталом )) ты админа удалил)))))
А все это из-за того ,что я когда обновлял допустил ошибку.. удалял функции и редактировал и случайно в сравнении удалил одно равно.. вот и получилось что удалять могу все)))
то надо брать в MySQL в ковычки число
Да. у меня оно было взято в '' но для безопасности сделал еще и intval. Спасибо..
Еще коечто.. Зачем флудить вгостевой?? там появилось 10 сообщений "Мама где я" проверил в базе просто тупые сообщения... Если повторится буду вынужден включить логи и смотреть с каких IP оставляют сообщения и банить.... Мне жаль..но если так свинячите....
В табле "Заказать" всёвремя написано "Вы заполнили не все поля!" да я их и не собирался заполнять
Исправил
И ваще помоему это админское
Забыл добавить проверку..
Все исправил.... Жду дальнейшего теста...
|
|
|
|
07.04.2008, 16:09
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
Всё ещё можно удалять карты
http://alhimiya.in/shop/index.php?del=6&id=1
Насчт флуда я непонял, кому это надо нам или тебе! Видетели ему 10 сообщений ненравятся так не проси тогда больше никого чекать твои сайты и пусть пользователи гуляют с 10 милиардами на счету и всё! ппц как меня это взбесило! Просят чекать потом ещё ненравится чёто!
Это наглость, ничего не платиш за проверку ещё и условия ставиш! Плати бета тестерам и ставь им условия чтоб на возможность флуда и спама не проверяли сайт
Дальше чекай сам
Последний раз редактировалось Ponchik; 07.04.2008 в 16:12..
|
|
|
|
07.04.2008, 17:16
|
|
Участник форума
Регистрация: 31.12.2007
Сообщений: 279
Провел на форуме:
1725509
Репутация:
114
|
|
Вот именно ты непонял..
Это не тест, это просто сообщения в них даже не пытались html код поставить...Просто написали и все..
Остальные с попытками я сотнями удаляю из базы ежедневно они пусть нежалко....
А таких флудовых сообщений да еще и с матами немало... Их больше чем тестовых...А кто балуется? я вот незнаю. кто потому, что отключил логи, чтоб вам спокойнее было...
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
