(26 июл 2015, 14:50) (0/0)
[0]
pavelgrey, фух я понял спасибо то я очконул честное слово, думал нужно будет в каждом запросе файла прописывать intval и htmlspecialchars
(26 июл 2015, 14:47) (0/0)
[0]
Ребята подскажите как работает этот сканер? Я загружаю архив скрипта, мне выдает кучу SQL CSS хотя я их фильтрирую и в скрипте фильтрация отлично работает примеры фильтрации прописаны в файле fuck
function hack($msg){
$msg = trim($msg);
$msg = htmlspecialchars($msg);
$msg = mysql_escape_string($msg);
return $msg;
}
function int
($var)
{
return abs
(intval
($var));
}
Пример применения функции hack:
$msg = hack($_POST[msg]);
mysql_query("INSERT INTO `chat`(`user`,`msg`,`time`) VALUES('".int($user[id])."','$msg','".time()."')"
;
Пример применения функции int:
mysql_query("DELETE FROM `chat` WHERE `id`='".int($mag[id])."'";
В скрипте все отлично работает, а сканер фигню выдает почему то.
PS. Код знаю Гкод, но я только начинаю.
Добавлено 26.07.15 в 14:48:59:
А если прописываю в скрипте фитрацию например вот так вот
mysql_query("DELETE FROM `chat` WHERE `id`='".intval($mag[id])."'"
То сканер показывает что нет уязвимости.
function hack($msg){
$msg = trim($msg);
$msg = htmlspecialchars($msg);
$msg = mysql_escape_string($msg);
return $msg;
}
function int
($var)
{
return abs
(intval
($var));
}
Пример применения функции hack:
$msg = hack($_POST[msg]);
mysql_query("INSERT INTO `chat`(`user`,`msg`,`time`) VALUES('".int($user[id])."','$msg','".time()."')"
;Пример применения функции int:
mysql_query("DELETE FROM `chat` WHERE `id`='".int($mag[id])."'"
;В скрипте все отлично работает, а сканер фигню выдает почему то.
PS. Код знаю Гкод, но я только начинаю.
Добавлено 26.07.15 в 14:48:59:
А если прописываю в скрипте фитрацию например вот так вот
mysql_query("DELETE FROM `chat` WHERE `id`='".intval($mag[id])."'"
То сканер показывает что нет уязвимости.
- 1 из 1
