Модуль значки для JohnCMS 4.x.x
2.07K
studiouz
15 дек 2013 г., 1:19
Zidan_@777@, где именно ?
Zidan_@777@
15 дек 2013 г., 20:57
studiouz, переменная $search не отфильтрована
# Zidan_@777@ (15.12.2013 / 20:57)И как правильно её отфильтровать??
studiouz, переменная $search не отфильтрована
ДоХтор
10 сен 2015 г., 8:59
# pop (10.09.2015 / 07:34)В именно этот код я не глядел, а вообще принцип такой
И как правильно её отфильтровать??
$search = trim(htmlspecialchars($search));# ДоХтор (10.09.2015 / 08:59)Не сочти за глупость, а есть ещё какие-то варианты фильтрации зависящие от написания кода?
В именно этот код я не глядел, а вообще принцип такой
$search = trim(htmlspecialchars($search));
Simba
10 сен 2015 г., 15:59
Кадило крутится, лавэха мутится
# pop (10.09.2015 / 09:27)При записи в базу используй функцию mysql_real_escape_string(), а при выводе htmlspecialchars.
Не сочти за глупость, а есть ещё какие-то варианты фильтрации зависящие от написания кода?
Вот это проблемное место где дыра:
Как сделать это безопасным, пример кодом, или я не здесь дыру исчу?
$search = $_GET['id'];
$req = mysql_query("SELECT * FROM `users` WHERE `id` = '$user_id' LIMIT 1");
$user = mysql_fetch_assoc($req);
$balls = $user['balans'] - 100;Как сделать это безопасным, пример кодом, или я не здесь дыру исчу?
ValekS
10 сен 2015 г., 20:18
Ей 25
pop, $search = $id;
Или $search = abs(intval($_GET['id']));
Там же цифровое значение должно быть надеюсь?
Или $search = abs(intval($_GET['id']));
Там же цифровое значение должно быть надеюсь?
ValekS, Вот два файла где встречается эта переменная.
Прикрепленные файлы:
275
(1.72 KB)
ValekS
10 сен 2015 г., 20:27
Ей 25
pop, я с телефона их сейчас не буду смотреть. Что там ищется? Или к чему эта переменная там, что туда передаётся? Ид юзера или значка? Тогда мой код выше верный.
Всего: 82
© 2024, JohnCMS