Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
12.11.2009, 21:20
|
|
Участник форума
Регистрация: 07.09.2009
Сообщений: 298
Провел на форуме:
390301
Репутация:
3
|
|
Сообщение от LzD
учить матчасть  йасно
|
|
|
12.11.2009, 21:20
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Сообщение от Ins3t
Фильтруй передаваемые данные.
Могу порекомендовать функцию htmlspecialchars() превращающую HTML теги в HTML сущности. От нее отталкивайся.
Не самый лучший выбор, особенно если фильтруемое значение потом размещается где-нибудь в виде ссылки, например на форуме vbulletin
|
|
|
|
12.11.2009, 21:22
|
|
Участник форума
Регистрация: 07.09.2009
Сообщений: 298
Провел на форуме:
390301
Репутация:
3
|
|
Сообщение от Strilo4ka
vorona фильтровать данные !
если на PHP пишем то strip_tags,htmlspecialchar,htmlentites кажеться вот так!
Смотри в мануале.
самого htmlspecialchar достаточно??
|
|
|
|
12.11.2009, 21:22
|
|
Новичок
Регистрация: 12.11.2009
Сообщений: 20
Провел на форуме:
32270
Репутация:
0
|
|
Пытаюсь делать SQL-инъекцию на одном ресурсе, при подстановке кавычки ко всем параметрам, которые проверил выводятся ворнинги такого плана:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in ...
Можно ли что-то сделать с этими параметрами?
|
|
|
|
12.11.2009, 21:25
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
fng:
может и можно, а может и нельзя - ссылку в студию, попробуй перечитай свой вопрос и осознай, что разговариваешь с Землянами, а не с гуманоидными существами из галактики бетта, которые в совершенстве познали телепатию
|
|
|
|
12.11.2009, 21:25
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
2Pashkela, могут конечно быть дефекты, но все зависит от того что и где ты фильтруешь.
P.S.: к стати, замечал на какой то из версий воблы используеться эта ф-я в ббкодах, действительно были дефекты. Но данная функция далеко не единственный способ защиты  |
|
|
|
12.11.2009, 21:25
|
|
Познающий
Регистрация: 29.03.2009
Сообщений: 87
Провел на форуме:
2185909
Репутация:
308
|
|
Сообщение от Ins3t
Фильтруй передаваемые данные.
Могу порекомендовать функцию htmlspecialchars() превращающую HTML теги в HTML сущности. От нее отталкивайся.
Обсуждалось уже, htmlspecialchars() тоже обходиться.
|
|
|
|
12.11.2009, 21:26
|
|
Участник форума
Регистрация: 07.09.2009
Сообщений: 298
Провел на форуме:
390301
Репутация:
3
|
|
Сообщение от [underwater]
Обсуждалось уже, htmlspecialchars() тоже обходиться.
как? О_о
|
|
|
|
12.11.2009, 21:27
|
|
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
Провел на форуме:
4532332
Репутация:
1196
|
|
Сообщение от [underwater]
Обсуждалось уже, htmlspecialchars() тоже обходиться.
show must go on
|
|
|
|
12.11.2009, 21:27
|
|
Познающий
Регистрация: 18.10.2009
Сообщений: 68
Провел на форуме:
330834
Репутация:
90
|
|
Сообщение от fng
Пытаюсь делать SQL-инъекцию на одном ресурсе, при подстановке кавычки ко всем параметрам, которые проверил выводятся ворнинги такого плана:
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in ...
Можно ли что-то сделать с этими параметрами?
Как ты пытаешься провести инъект, если ты даже не знаешь что он тебе отвечает?
order by 10000 --
order by 1 --
order by 4 --
union select 1,2,3,4 --
выводит 2,4 например
union select 1,concat_ws(0x3a,version(),user()),3,4 --
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [underwater]](/avatars/avatar81148.gif){kind=avatar}
Похожие темы
Линейный вид
