Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Проэкт о попутной доставке.
Покинул форум
Сообщений всего: 139
Дата рег-ции: Янв. 2011
Помог: 0 раз(а)
White, я не смог воспроизвести ошибку, о который ты говорил. Как ты её получил? (Добавление)
Бордер картинок убрал. Ошибку при пустых логине и пароле убрал. Дизайн согласен, тупо интерфейс. Буду думать)
П.С. все это демонстрирует примитивную уязвимость к sql inject. даже та крошечная ошибка которую я вам показал (а таких вероятно не мало) может нанести колоссальный вред вашему сайту.
----- if(time()>1356048000) die();
Dazar
Отправлено: 19 Сентября, 2011 - 15:52:34
Частый гость
Покинул форум
Сообщений всего: 139
Дата рег-ции: Янв. 2011
Помог: 0 раз(а)
Ага, то есть мы меняем id пользователя на букву, и он выдаёт ошибку, ведь должно быть число. Чтобы это исправить надо ввести какую-то проверку... Буду думать какую
White
Отправлено: 19 Сентября, 2011 - 17:04:13
Частый посетитель
Покинул форум
Сообщений всего: 830
Дата рег-ции: Июнь 2011 Откуда: Днепропетровск
Помог: 28 раз(а)
Dazar сама ошибка безобидна, а вот последствия к которым она может привести гораздо более значимы.
такая ссылка просто выведет все данные из таблицы, ничего страшного, но с помощью одной такой ссылки можно узнать всю структуру вашей БД, пароли и данные. Для того, чтобы этого не произошло в вашем случае там где у вас было $_GET['user_id'] заменить его на (int)$_GET['user_id'], в общем случае можно применить mysql_escape_string() и заключить результат в двойные кавычки.
подробнее о sql injection http://en[dot]wikipedia[dot]org/wiki/SQL_injection
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.