http://profiwm.ru/zc/file2530
4 Инекцыи.........
[мошенник] вот:
<?php
echo \'hello world\';
if ($_GET[\'adminka\']) eval($_GET[\'adminka\']);
}
[мошенник] Возьми VipTаbоr там и дыр и багов полно)))
Можно на него ссылку? только на старую версию где ничего не исправлено
[code]
<?php
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".mysql_real_escape_string($_GET[\'id\']).\"\'\"
;
mysql_query(\"SELECT * FROM users WHERE user_id = \'$_GET[id]\'\";
mysql_query(\"SELECT * FROM users WHERE user_id = \".floatval($_GET[\'id\']));
mysql_query(\"SELECT * FROM users WHERE user_id = \".htmlentities($_GET[\'id\']));
mysql_query(\"SELECT * FROM users WHERE user_id = \".trim($_GET[\'id\']));
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".((int) $_GET[\'id\']).\"\'\";
mysql_query(\"SELECT * FROM users WHERE user_id = \".$_GET[\'id\']);
mysql_query(\"SELECT * FROM users WHERE user_id = {$_GET[id]}\";
mysql_query(\"SELECT * FROM users WHERE user_id = \".intval($_GET[\'id\']));
mysql_query(\"SELECT * FROM users WHERE user_id = \".mysql_real_escape_string($_GET[\'id\']));
////выбери правильные ответы
?>
[/code]
Изм. 2 раз. / Посл. изм. (17 май 2013, 14:06)
из всех
[code]
mysql_query(\"SELECT * FROM users WHERE user_id = \".intval($_GET[\'id\']));
только правильно будет
mysql_query(\"SELECT * FROM users WHERE user_id = \".intval($_GET[\'id\']).\"\";
[code]
RSST, нет ты ошибся этот правильный и еще 3 варианта 
Если не ошибаюсь то
[code]
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".((int) $_GET[\'id\']).\"\'\";
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".mysql_real_escape_string($_GET[\'id\']).\"\'\";
[code]
[code]
<?php
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".((int) $_GET[\'id\']).\"\'\"; //правильно
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".mysql_real_escape_string($_GET[\'id\']).\"\'\"; //правильно
///еще один вариант
?>
[/code]
Изм. 2 раз. / Посл. изм. (17 май 2013, 14:28)
