12. [автор] (23 янв 2013, 02:30) [0/0] [0] [отв] [спам] [под] +1 | -1
Iso,
точно, затупил. За проверку + 20р
13. (23 янв 2013, 03:59) [0/0] [0] [отв] [спам] [под] +1 | -1
Изм. 1 раз. / Посл. изм. (23 янв 2013, 04:07)
Автор Вот ради интереса, спрошу.
Есть ли на твой взгляд здесь уязвимость if(isset($_GET[\'module\']))
include(\"modules/\".$_GET
[\'module\'].\".php\"
;
Если ответ дашь правильный. тогда еще ответь что это и для чего.
1. mysql_real_escape_string()
2. htmlspecialchars()
Изм. 1 раз. / Посл. изм. (23 янв 2013, 04:07)
14. [автор] (23 янв 2013, 04:47) [0/0] [0] [отв] [спам] [под] +1 | -1
DENVOJ,
Изм. 1 раз. / Посл. изм. (23 янв 2013, 04:48)
Уязвимость в инклуде что ты написал в том, что название файла содержиться в названиии гет запроса. Тоесть можно подменить на другой. Напрмер на etc/.htpswd вроде так
Изм. 1 раз. / Посл. изм. (23 янв 2013, 04:48)
15. [автор] (23 янв 2013, 04:52) [0/0] [0] [отв] [спам] [под] +1 | -1
htmlspecialchars преобазует символы. Символы преобразуються в код. Например \" в" что делает не возможным исполниением XSS атаки. Я если б не привык, использывал бы htmlenties
16. [автор] (23 янв 2013, 04:53) [0/0] [0] [отв] [спам] [под] +1 | -1
mysql_real_escape_string() экранирует символы в mysql_query
20. [автор] (23 янв 2013, 16:00) [0/0] [0] [отв] [спам] [под] +1 | -1
RSST,
конечно. Давай свою, я тебе напишу.
