Пойду на соц.сеть (перенесено) - PROFIWM.COM

купить рекламу

Шины и диски для настоящих боссов дороги

Обновить | Подписаться | Поднять тему

Чтобы выполнить действие авторизируйтесь или пройдите регистрацию на сайте.

11.

Hoy Mo

3.78

(6 июл 2013, 14:59) [0/0] [0] [отв] [спам] [под] +1 | -1

ИнДи, норм все вроде

12.

-=CoolBoy=-

[мошенник] 4.79

(6 июл 2013, 15:01) [0/0] [0] [отв] [спам] [под] +1 | -1

|ИнДи|,

не вроде

13.

МАНЬЯК ЧИКАТИЛО

48.79

(6 июл 2013, 15:02) [0/0] [0] [отв] [спам] [под] +1 | -1

-=CoolBoy=-,

он автора проверяет

14.

-=CoolBoy=-

[мошенник] 4.79

(6 июл 2013, 15:02) [0/0] [0] [отв] [спам] [под] +1 | -1

МАНЬЯК ЧИКАТИЛО,

аа
Добавлено 06.07.13 в 15:03:08:
Я думал он ошибку исправляет

15.

BESTi

[автор] (6 июл 2013, 15:09) [0/0] [0] [отв] [спам] [под] +1 | -1

Ну то пишыте

16.

RiDiK

[мошенник] 1.85

(6 июл 2013, 15:12) [0/0] [0] [отв] [спам] [под] +1 | -1

|ИнДи|,

фильтрануть надо бы.

17.

BESTi

[автор] (6 июл 2013, 15:16) [0/0] [0] [отв] [спам] [под] +1 | -1

Ну пишыте в лс

18.

|ИнДи|

[мошенник] 9.14

(6 июл 2013, 15:19) [0/0] [0] [отв] [спам] [под] +1 | -1

mysql_qeury (\'update `user` set `balls` = `balls` + \'.$_GET[\'balls\'].\' where `id` = \'.$user[\'id\']);
тут что?

19.

BESTi

[автор] (6 июл 2013, 15:21) [0/0] [0] [отв] [спам] [под] +1 | -1

|ИнДи|,

Да всё верно

20.

|ИнДи|

[мошенник] 9.14

(6 июл 2013, 15:22) [0/0] [0] [отв] [спам] [под] +1 | -1

BESTi,

Дыра там, где не фильтруется $GET и $_POST.
В примере, который выше, $_GET не фильтруется. То есть написано просто $_GET[\'balls\'].
Чтобы зафильтровать числовое значение(баллы - числа), надо сделать так:
intval($_GET[\'balls\']). В итоге получим такой запрос:
mysql_qeury (\'update `user` set `balls` = `balls` + \'.intval($_GET[\'balls\']).\' where `id` = \'.$user[\'id\']);

Чтобы писать сообщения авторизируйтесь или пройдите регистрацию на сайте.

Подписаны: 1
Скачать тему | Файлы темы | Фильтр сообщений

Правила сайта |

Реакции |

ББ коды |

Поиск