Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
19.09.2007, 12:16
|
|
Тут может быть ваша реклама.
Регистрация: 30.07.2005
Сообщений: 1,243
Провел на форуме:
4520553
Репутация:
1316
|
|
if(is_file("./modules/".$_GET['module'])) include("./modules/".$_GET['module'];
не канает
|
|
|
19.09.2007, 13:55
|
|
Постоянный
Регистрация: 20.01.2007
Сообщений: 787
Провел на форуме:
2924346
Репутация:
1719
|
|
Имхо лучше всего завести отдельный массив и в него модули складывать, а потом проверять через in_array()
Ну или поставить рестрикты (запреты), об этом вроде бы писали выше, не читал.
|
|
|
|
19.09.2007, 14:34
|
|
Познавший АНТИЧАТ
Регистрация: 02.06.2006
Сообщений: 1,188
Провел на форуме:
6023777
Репутация:
2642
|
|
А не легче ли
PHP код:
if(file_exists('modules/'.$_GET['mod'].'.php')) {
include('modules/'.$_GET['mod'].'.php');
}
|
|
|
|
19.09.2007, 14:39
|
|
Постоянный
Регистрация: 14.03.2007
Сообщений: 367
Провел на форуме:
1392441
Репутация:
161
|
|
Может быть уже сказано (просто лень все читать) но функция addslashes просто акуительно спасает от иньекций... просто пропиши все вносимие переменные и все...
|
|
|
|
19.09.2007, 14:59
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
n1†R0x, всегда так и делал 
Йа фспомнел
$_GET['mod'] = str_replace('.',null,$_GET['mod']);  |
|
|
|
19.09.2007, 15:13
|
|
Познавший АНТИЧАТ
Регистрация: 12.05.2007
Сообщений: 1,235
Провел на форуме:
2238549
Репутация:
1318
|
|
Может быть уже сказано (просто лень все читать) но функция addslashes просто акуительно спасает от иньекций... просто пропиши все вносимие переменные и все...
Y.Dmitriy, не городи чепухи... Она экранирует только кавычки, слеши и нулевые байты... Если на хосте крутится более-менее продвинутая БД (MySQL 5.X, Oracle и т.д.), то обход экранирования кавычек элементарно организуется через CHAR(...,...,...) или шестнадцатиричное представление - 0x7573657273.
|
|
|
|
19.09.2007, 15:53
|
|
Познавший АНТИЧАТ
Регистрация: 02.06.2006
Сообщений: 1,188
Провел на форуме:
6023777
Репутация:
2642
|
|
Если запрос в браузере например id=1
То я юзаю
PHP код:
preg_replace('|[^0-9]|',NULL,$_GET['id']);
|
|
|
|
19.09.2007, 17:12
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
NOmeR1, зачем так много? Можно просто intval($_GET['id']) или ваще $id = (int)$_GET['id']
|
|
|
|
19.09.2007, 17:34
|
|
Постоянный
Регистрация: 20.01.2007
Сообщений: 787
Провел на форуме:
2924346
Репутация:
1719
|
|
Сообщение от NOmeR1
А не легче ли
PHP код:
if(file_exists('modules/'.$_GET['mod'].'.php')) {
include('modules/'.$_GET['mod'].'.php');
}
Не легче, нельзя забывать про отключенный magic_quotes кое-где и про нуллбайт.
|
|
|
|
19.09.2007, 18:17
|
|
Пачка маргарина
Регистрация: 14.07.2005
Сообщений: 964
Провел на форуме:
4646474
Репутация:
1424
|
|
Сообщение от I-I()/Ib
В этой статье будут описаны все функции неверное использование которых может привести к уязвимостям в ваших скриптах,
ай врунишка!
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
