Alonzo, вроде не опасно... Блокнот доступен только хозяину же...
Поставь фильтр...
Блокнот для JohnCMS 3.x.x
2.09K
hooligan
15 авг 2011 г., 0:17
Alonzo
15 авг 2011 г., 0:18
hooligan (14.08.2011/21:17)Не уметь
Alonzo, вроде не опасно... Блокнот доступен только хозяину же...
Поставь фильтр...
.gif)
смогут через блокнот сломать?
hooligan
15 авг 2011 г., 0:24
Alonzo (14.08.2011/21:18)ты не знаешь что такое xss?
Не уметь
В google сходи почитай... Всем хозяевам сайтов нужно знать...
XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») — тип уязвимости интерактивных информационных систем в вебе. XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента.
Янулов
15 авг 2011 г., 4:40
Даже если есть, ничего страшного. Доступ только у автора Блокнота, посторонние лица не смогут просматривать записи. Поэтому, хищение данных невозможно.
svet29
15 авг 2011 г., 8:38
а как насчет этих ошибок Полный отчет:/str/notebook.php $name
57: $count1 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `name` = '$name'"), 0); SQL Injection!
/str/notebook.php $text
58: $count2 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `text` = '$text'"), 0); SQL Injection!
/str/notebook.php $name
134: $count1 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `name` = '$name' AND `id` != '$id'"), 0); SQL Injection!
/str/notebook.php $text
135: $count2 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `text` = '$text' AND `id` != '$id'"), 0); SQL Injection!
57: $count1 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `name` = '$name'"), 0); SQL Injection!
/str/notebook.php $text
58: $count2 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `text` = '$text'"), 0); SQL Injection!
/str/notebook.php $name
134: $count1 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `name` = '$name' AND `id` != '$id'"), 0); SQL Injection!
/str/notebook.php $text
135: $count2 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `text` = '$text' AND `id` != '$id'"), 0); SQL Injection!
Янулов
15 авг 2011 г., 12:11
Сейчас я занят. Пожалуй, вечером, исправлю все ошибки.
hooligan
15 авг 2011 г., 12:41
svet29 (15.08.2011/05:38)если данные перед добавлением в таблицу фильтруются должным образом, иньекции не может быть...
а как насчет этих ошибок Полный отчет:/str/notebook.php $name
57: $count1 = mysql_result(mysql_query("SELECT COUNT(*) FROM `notebook` WHERE `user_id`= '$user_id' AND `name` = '$name'"), 0); SQL Injec
Янулов
15 авг 2011 г., 13:21
Все дело в том, что нет проверки переменных "name" и "text" функцией isset().
Alonzo
15 авг 2011 г., 13:36
Янулов (15.08.2011/10:21)Исправь пожалуйста удобная вещь для хранения инфы на сайте.
Все дело в том, что нет проверки переменных "name" и "text" функцией isset().
если не трудно лучше было бы и на четверку чтоб работало
Янулов
15 авг 2011 г., 13:51
Alonzo (15.08.2011/10:36)Вечером... Там делов на минуты, только сейчас компа нет под рукой. А для четверки лень делать, ибо скоро выйдут Блоги. А когда они выйдут, Блокнот уже не нужен будет.
Исправь пожалуйста удобная вещь для хранения инфы на сайте.
Всего: 85
© 2024, JohnCMS