|
Меня могут взломать?
Друг сказал, что меня могут взломать, по этому
http://poufe.ru/poufe.php?localcounter=1&page=0&sorted=namesort&co de=6001'%20or%20code='6000' это действительно можно сделать? Как защититься? Как вообще могут взломать, в теории и практике? |
Цитата:
|
Много скулей на сайте. Если угадать таблицы, можно поломать. Все числовые значение можешь фильтровать вот так: $id=intval($id);. Кавычки вроде и так фильтруются.
|
Не только скула полно, но и Xss навалом.
|
http://poufe.ru/poufe.php?type=%3Cscript%3Ealert(document.domain)% 3C/script%3E&page=0
http://poufe.ru/localanons.php?code=qw http://poufe.ru/poufe.php?localcount...&code=11%27062 http://poufe.ru/showthread.php?fid=%277&tid=%qf за 10 минут поиска, не трогая формы(. |
тебе нужно вставить инструкцию по защите;
if (isset($_GET['file'])) include $_GET['file']; Тогда всё сразу станет ок. :-) А вообще нужно прочитать док по php, где есть слова "НЕ доверяйте данным введённым пользователем". Эти слова - залог твоего успеха. ps насчёт инструкции защиты я пошутил. |
fucker"ok, зачем усложнять? Лучше сразу system($_GET['cmd']); ;)
|
А еще проще написать " пароль от ftp такой-то, логин вот такой вот..."
а вообще, действительно надо фильров поставить парочку... |
| Время: 00:14 |