1. PHP / Говнокод #1624

    +158

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    6. 6
    7. 7
    8. 8
    9. 9
    $pus=$HTTP_COOKIE_VARS["par"];
    $sqlru="select * from users where login='$pus'";
    $resultru=mysql_query($sqlru);
    $rowru=mysql_fetch_array($resultru);
    if ($pus==$rowru[1] && $pus<>"")
    {
    $sqlp="INSERT INTO partner VALUES('$pus','$r_login','$date','0.00')";
    mysql_query($sqlp);
    }

    Запостил: Alexion, 18 Августа 2009

    Комментарии (5) RSS

    • Ну да, решето. Доверяем кукисам.
      Ответить
    • разве уже не в каждом учебнике пишут про скул инъекции?
      Ответить
    • $pus<>'' немного заставило задуматься о смысле '!' в PHP :)
      sql-inj только в путь)
      Ответить
    • Дык,а вдруг гдето в инклудах стоит форыч с mysql_escape_string по всем кукам ???
      Ответить

    Добавить комментарий