Модуль значки для JohnCMS 4.x.x

2.38K
.
Zidan_@777@, где именно ?
.
studiouz, переменная $search не отфильтрована
.
# Zidan_@777@ (15.12.2013 / 20:57)
studiouz, переменная $search не отфильтрована
И как правильно её отфильтровать??
.
# pop (10.09.2015 / 07:34)
И как правильно её отфильтровать??
В именно этот код я не глядел, а вообще принцип такой
$search = trim(htmlspecialchars($search));
.
# ДоХтор (10.09.2015 / 08:59)
В именно этот код я не глядел, а вообще принцип такой
$search = trim(htmlspecialchars($search));
Не сочти за глупость, а есть ещё какие-то варианты фильтрации зависящие от написания кода?
.
Кадило крутится, лавэха мутится
# pop (10.09.2015 / 09:27)
Не сочти за глупость, а есть ещё какие-то варианты фильтрации зависящие от написания кода?
При записи в базу используй функцию mysql_real_escape_string(), а при выводе htmlspecialchars.
.
pop
Вот это проблемное место где дыра:

$search = $_GET['id'];
      $req = mysql_query("SELECT * FROM `users` WHERE `id` = '$user_id' LIMIT 1");
    $user = mysql_fetch_assoc($req);
$balls = $user['balans'] - 100;


Как сделать это безопасным, пример кодом, или я не здесь дыру исчу?
.
ValekS
Ей 25
pop, $search = $id;
Или $search = abs(intval($_GET['id']));

Там же цифровое значение должно быть надеюсь?
.
ValekS, Вот два файла где встречается эта переменная.
Прикрепленные файлы:
.
ValekS
Ей 25
pop, я с телефона их сейчас не буду смотреть. Что там ищется? Или к чему эта переменная там, что туда передаётся? Ид юзера или значка? Тогда мой код выше верный.
Всего: 82