КурилкаВход | Регистрация
Новости | Поиск | ПользователиОбзор форумов / Общая конференция / Курилка / Опросы / TD
Конференция «Опросы»
Страницы:  1
Секьюрити алерт
 
белый космос  (02-10-2008 01:00) цитата#462 
В поиске двойные кавычки приводят к необычному сообщению. Вот мне интересно а не похоже ли это на сами догадаетесь что. 
белый космос  (02-10-2008 01:03[1] цитата#463 
Ах да, совсем забыл, опрос 
антон  (02-10-2008 01:08[2] цитата#464 
это типа костыль против XSS. такое же получаешь если в GET попробовать передать апостоф, больше-меньше и еще парочку 
антон  (02-10-2008 01:09[3] цитата#465 
не только в поиске, везде так - http://antonn.com/mdforum/index.php?forum=4&ss="s 
белый космос  (02-10-2008 01:09[4] цитата#466 
Меня зовут "; drop table './devtalks/forum_posts' ;-) 
антон  (02-10-2008 01:10[5] цитата#467 
а через POST можно что угодно передавать, другое дело, что там в запрос все идет через функци, которая применяет mysql_real_escape_string() :) 
антон  (02-10-2008 01:13[6] цитата#468 
и кстати, подзапросы в мускле отключены :) 
белый космос  (02-10-2008 01:18[7] цитата#469 
> антон (02-10-2008 01:08) [2]
> такое же получаешь если в GET попробовать передать апостоф,
> больше-меньше и еще парочку

лень делать геты вручную, но в поиске только " глючит
 
антон  (02-10-2008 01:19[8] цитата#470 
конкретно у поиска:
$stext=strip_tags(trim_e(stripslash($_POST['stext'])));
$stext=bb_code_clear($stext);

$ser_out=urlencode($stext);
$stext2=qre(strtolower($stext));

$stext2 идет в запрос, $ser_out кодируется и идет в GET.

function quote_real_escape_string($value){
       if(!is_numeric($value)){
               $value=mysql_real_escape_string($value);
       }
       return $value;
}

function qre($value){
       return quote_real_escape_string($value);
}
 
Страницы:  1
Статистика темы
Написать ответ
Автор:
 
 Защита от спамботовВведите ответ:
Сейчас на сайте: 86 гостей
Пользователи: Нет зарегистрированных пользователей
mdforum v0.93 
854/3760 (962327/10667702)