|
|
|
|
| белый космос (02-10-2008 01:00) цитата | #462 |
| В поиске двойные кавычки приводят к необычному сообщению. Вот мне интересно а не похоже ли это на сами догадаетесь что. | |
|
 |
| белый космос (02-10-2008 01:03) [1] цитата | #463 |
| Ах да, совсем забыл, опрос | |
|
|
| антон (02-10-2008 01:08) [2] цитата | #464 |
| это типа костыль против XSS. такое же получаешь если в GET попробовать передать апостоф, больше-меньше и еще парочку | |
|
|
| антон (02-10-2008 01:09) [3] цитата | #465 |
| не только в поиске, везде так - http://antonn.com/mdforum/index.php?forum=4&ss="s | |
|
|
| белый космос (02-10-2008 01:09) [4] цитата | #466 |
| Меня зовут "; drop table './devtalks/forum_posts' ;-) | |
|
|
| антон (02-10-2008 01:10) [5] цитата | #467 |
| а через POST можно что угодно передавать, другое дело, что там в запрос все идет через функци, которая применяет mysql_real_escape_string() :) | |
|
|
| антон (02-10-2008 01:13) [6] цитата | #468 |
| и кстати, подзапросы в мускле отключены :) | |
|
|
| белый космос (02-10-2008 01:18) [7] цитата | #469 |
> антон (02-10-2008 01:08) [2]
> такое же получаешь если в GET попробовать передать апостоф,
> больше-меньше и еще парочку
|
лень делать геты вручную, но в поиске только " глючит | |
|
|
| антон (02-10-2008 01:19) [8] цитата | #470 |
конкретно у поиска:
$stext=strip_tags(trim_e(stripslash($_POST['stext'])));
$stext=bb_code_clear($stext);
$ser_out=urlencode($stext);
$stext2=qre(strtolower($stext)); |
$stext2 идет в запрос, $ser_out кодируется и идет в GET.
function quote_real_escape_string($value){
if(!is_numeric($value)){
$value=mysql_real_escape_string($value);
}
return $value;
}
function qre($value){
return quote_real_escape_string($value);
} |
| |
|
|
| Страницы: 1 |
| Статистика темы |
