- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
- 09
- 10
- 11
- 12
// Сначала я увидел такой самонадеянный способ "послать нахуй все инъекции" (magic_quotes_gpc при этом вообще не проверялись :-))
# Посылаем смело нахуй все инъекции
foreach($_GET as $name => $value){
$_GET[$name] = mysql_real_escape_string($value);
}
foreach($_POST as $name => $value){
$_POST[$name] = mysql_real_escape_string($value);
}
// А потом - следующее (обратите внимание на отсутствие кавычек для GET параметров)
$result = mysql_query("SELECT * FROM ".$_GET['index_country']." WHERE id = ".$_GET['index_to_edit']);
Хочется передать автору этого креатива большое спасибо за то, что доставил мне массу лулзов при нахождении этого и других багов :-) Если народ и дальше будет думать, что этого достаточно чтобы избавиться от инъекций, я без денег точно не останусь )))))))))))
HyperGeek 05.04.2010 23:15 # +9.2
mrbig66 07.04.2010 10:21 # +3
Разрыв мозгов был бы гарантирован.
http://somedomain.com?q=SELECT%20*%20FROM%20use rs%20WHERE%20login=%27user%27 %20AND%20pass=%2712345%27
larrygingras2 10.04.2010 19:22 # 0
Ломать не стал, т.к. там и так всё чаще лежало, чем работало, да и не стремлюсь к лаврам хакера...
larrygingras2 10.04.2010 19:25 # +1
mindfreakthemon 06.04.2010 00:04 # +6.2
как давать продавцу кошелёк со словами "возьмите сумму сами".
larrygingras2 10.04.2010 19:25 # 0
striker 06.04.2010 00:15 # −0.2
pingw33n 06.04.2010 02:28 # 0
mrbig66 06.04.2010 07:53 # +2.8
guest 06.04.2010 08:44 # −5.2
guest 06.04.2010 09:36 # +2.8
guest 07.04.2010 08:48 # −2
guest 06.04.2010 10:51 # −9.8
mrbig66 06.04.2010 11:27 # +3.2
paranoid 06.04.2010 13:51 # +0.8
guest 06.04.2010 16:05 # −5.4
guest 06.04.2010 16:22 # +0.4
/самоустранился из ветки
guest 09.04.2010 07:12 # +1.4
guest 06.04.2010 17:31 # +2.2
в этой библиотеке больше всего дыр и уязвимостей. а патчить - всем лень. ведь работает - и ладно ))))
Death 09.04.2010 11:09 # 0
У многих даже библиотека brain.dll со времён MS-DOS :)
Кстати, а чё за сайт где это такое написано, пойду грохну ))
guest 09.04.2010 21:13 # 0
С Ув.
Гавнокодер.