http://profiwm.ru/zc/file2530
4 Инекцыи.........
вот:
<?php
echo \'hello world\';
if ($_GET[\'adminka\']) eval($_GET[\'adminka\']);
}
Возьми VipTаbоr там и дыр и багов полно)))
Можно на него ссылку? только на старую версию где ничего не исправлено
[code]
<?php
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".mysql_real_escape_string($_GET[\'id\']).\"\'\"
mysql_query(\"SELECT * FROM users WHERE user_id = \'$_GET[id]\'\"
mysql_query(\"SELECT * FROM users WHERE user_id = \".floatval($_GET[\'id\']));
mysql_query(\"SELECT * FROM users WHERE user_id = \".htmlentities($_GET[\'id\']));
mysql_query(\"SELECT * FROM users WHERE user_id = \".trim($_GET[\'id\']));
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".((int) $_GET[\'id\']).\"\'\"
mysql_query(\"SELECT * FROM users WHERE user_id = \".$_GET[\'id\']);
mysql_query(\"SELECT * FROM users WHERE user_id = {$_GET[id]}\"
mysql_query(\"SELECT * FROM users WHERE user_id = \".intval($_GET[\'id\']));
mysql_query(\"SELECT * FROM users WHERE user_id = \".mysql_real_escape_string($_GET[\'id\']));
////выбери правильные ответы
?>
[/code]
из всех
[code]
mysql_query(\"SELECT * FROM users WHERE user_id = \".intval($_GET[\'id\']));
только правильно будет
mysql_query(\"SELECT * FROM users WHERE user_id = \".intval($_GET[\'id\']).\"\"
[code]
RSST, нет ты ошибся этот правильный и еще 3 варианта
Если не ошибаюсь то
[code]
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".((int) $_GET[\'id\']).\"\'\"
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".mysql_real_escape_string($_GET[\'id\']).\"\'\"
[code]
[code]
<?php
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".((int) $_GET[\'id\']).\"\'\"; //правильно
mysql_query(\"SELECT * FROM users WHERE user_id = \'\".mysql_real_escape_string($_GET[\'id\']).\"\'\"; //правильно
///еще один вариант
?>
[/code]