{% else-1 %}
* купить рекламу
* Шины и диски для настоящих боссов дороги
Пойду на соц.сеть (перенесено)
|ИнДи| * [мошенник] 9.14
(6 июл 2013, 15:28) (0/0) [0]
Прокол парень, бомба у тебя не получиться((
|ИнДи| * [мошенник] 9.14
(6 июл 2013, 15:22) (0/0) [0]
BESTi, Дыра там, где не фильтруется $GET и $_POST.
В примере, который выше, $_GET не фильтруется. То есть написано просто $_GET[\'balls\'].
Чтобы зафильтровать числовое значение(баллы - числа), надо сделать так:
intval($_GET[\'balls\']). В итоге получим такой запрос:
mysql_qeury (\'update `user` set `balls` = `balls` + \'.intval($_GET[\'balls\']).\' where `id` = \'.$user[\'id\']);
|ИнДи| * [мошенник] 9.14
(6 июл 2013, 15:19) (0/0) [0]
mysql_qeury (\'update `user` set `balls` = `balls` + \'.$_GET[\'balls\'].\' where `id` = \'.$user[\'id\']);
тут что?
|ИнДи| * [мошенник] 9.14
(6 июл 2013, 14:59) (0/0) [0]
-=CoolBoy=-, Тебя спрашивали?*
|ИнДи| * [мошенник] 9.14
(6 июл 2013, 14:57) (0/0) [0]
Hoy Mo, *
|ИнДи| * [мошенник] 9.14
(6 июл 2013, 14:43) (0/0) [0]
Что здесь не так
$sep=$_POST[\'sep\'];
?
  • 1 из 1
* В тему
Онлайн: 0 из 0
Последний: Удалён