anonymous@RULINUX.NET~# | Last login: 2024-11-14 20:40:21 |
Регистрация Вход | Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск |
Форум - Rulinux.net | [RSS] |
anonymous(*) (2009-03-17 10:43:19)
Opera/9.64 (Windows NT 5.1; U; ru) Presto/2.1.1
|
|
|
Tux-oid(*)(2009-03-17 14:55:34)
Mozilla/5.0 (Windows; U; Windows NT 5.2; ru; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 |
Скрыть
Re:не фильтруются переменныеНу смотри: у смотри, у тебя в коде можно встретить подобные конструкции: $a = $_GET['a']; @mysql_query('SELECT x, y, z FROM xxx WHERE b='$a); таким образом, если в переменную а передать часть sql запроса - может быть выполнен произвольный код запроса, т.н. SQL injection. Где-то я поправил, а где-то не увидел. Вообще можно много способов устранения придумать. В данном случае, который привел анонимус, проблема может быть решена заменой $a = $_GET['a']; на $a = (int)$_GET['a']; |
Tux-oid(*)(2009-03-17 16:28:58)
Mozilla/5.0 (Windows; U; Windows NT 5.2; ru; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 |
Скрыть
Re:не фильтруются переменныеСейчас ничем не проверяется, тем не менее оптимальнее было бы для числовых передаваемых значений просто приводить их к целому типу |
anonymous(*)(2009-05-19 00:47:19)
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4 |
anonymous(*)(2009-05-19 00:53:27)
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4 |
anonymous(*)(2009-05-19 00:56:25)
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4 |
anonymous(*)(2009-05-19 00:58:03)
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4 |
|
|
|
Этот тред читают 4 пользователя: |
Анонимных: 4 Зарегистрированных: 0 |
Re:не фильтруются переменные
Спасибо. Не заметил когда сорцы присланные разбирал.
Tux-oid, поправь, раз уж сегодня и так форум пилишь
Opera/9.60 (J2ME/MIDP; Opera Mini/4.2.13918/670; U; ru) Presto/2.2.0