mysqli_query($db, "update users set money = money '$summ', sum_p = sum_p '$summ',kolv = kolv 1, last = '$t' where payeer = '$cosh'");если да, то каким образом могут навредить?
Та хз, смотря как обрабатывается $summ, тут ничего с этого кода нельзя сказать
Если честно, не пойму твой sql-запрос. Он разве валиден?
Сканил свой сайт при помощи сервиса, вот короче http://prnt.sc/d2nhkw
POST обрабатывается функцией text, если в фукцие есть обработка фукцией mysql_real_escape_string то иньекции нет.
Типо этого? $text = mysqli_real_escape_string($db, $text);
У тебя в скрипте есть функция text и она обрабатывает входящие post данные перед этим запросом. Если в функцие text есть обработка функцией mysql_real_escape_string то все нормально.
Хорошо, если предположить что нет этой функций mysql_real_escape_string то решение которое пролегает сервис ( на скрине) верное? ( если сейчас сказал глупость, то сорян, не шарю)
Хорошо, как это уязвимостью могли воспользоваться? Или так не сказать?
