Ответов: 18 Просмотров: 1725
|
LEONeso пишет:HotBird, в моём коде, что не шаг, так проверки, я не думаю ,что можно как нить навредить, тем более, человек вредит не всем юзерам, а сам себе. Да и приведенный вами пример, не сработал. Подобрать md5 по md5(uniqid(rand(),1)) - возможно, не зная, что за код на странице?
Дело в том что у вас открыта возможность для SQL-инекции. Переменная из строки запроса напрямую вставляется в запрос к базе в строке 2
$result_del = mysql_query ("SELECT * FROM name WHERE md5='$del'",$db);
Тогда нужно хотябы mysql_real_escape_string сделать:
неговоря уже о вырезании скриптов и тегов из значения переменной. |