Модуль значки для JohnCMS 4.x.x

Zidan_@777@, где именно ?

studiouz, переменная $search не отфильтрована

# Zidan_@777@ (15.12.2013 / 20:57)
studiouz, переменная $search не отфильтрована

# pop (10.09.2015 / 07:34)
И как правильно её отфильтровать??

$search = trim(htmlspecialchars($search));

# ДоХтор (10.09.2015 / 08:59)
В именно этот код я не глядел, а вообще принцип такой

$search = trim(htmlspecialchars($search));

# pop (10.09.2015 / 09:27)
Не сочти за глупость, а есть ещё какие-то варианты фильтрации зависящие от написания кода?

Вот это проблемное место где дыра:

$search = $_GET['id'];
      $req = mysql_query("SELECT * FROM `users` WHERE `id` = '$user_id' LIMIT 1");
    $user = mysql_fetch_assoc($req);
$balls = $user['balans'] - 100;

pop, $search = $id;
Или $search = abs(intval($_GET['id']));

Там же цифровое значение должно быть надеюсь?

ValekS, Вот два файла где встречается эта переменная.

pop, я с телефона их сейчас не буду смотреть. Что там ищется? Или к чему эта переменная там, что туда передаётся? Ид юзера или значка? Тогда мой код выше верный.