Вопрос - Ответ по RotorCMS

⚠️ Bymas - Форум разработчиков
Свежие Креативы и море позитива !!!
Печать RSS
10626
Кураторы темы: Studentsov
GodZiLLa 26.06.2012 / 16:11
Последний из могикан
0
Ещё не все файлы в роторе просмотрел, но из того что просматривал,
вижу запросы к базе, запись, вывод.... А вот как фильтруются запросы в роторе ???
От SQL Injection, в одном метсе где то прописано???
Потому что в каждом запросе не вижу какой либо фильтрации...
GodZiLLa 26.06.2012 / 23:47
Последний из могикан
0
И что, никто не в курсе ??? obana
В любом файле можно запросы делать или каждый запрос фильтровать ?
Или где есть уже шаблон фильтра и он действует на каждый зпрос в любом файле ???
J
JustZero 27.06.2012 / 00:07
Оранжевые штаны
0
1402: ®_GodZiIIa_€, у роторе есть ф-ция check
GodZiLLa 27.06.2012 / 00:30
Последний из могикан
0
1403. Доктор Зло, дык где она, в функционс ???
Она распространяется на запрос из всех файлов ?
ramzes 27.06.2012 / 01:10
2000 лет д.н.э.
0
Господи....
Не запросы фильтруют, а переменные
J
JustZero 27.06.2012 / 01:16
Оранжевые штаны
0
®_GodZiIIa_€ (26 Июня 2012 / 12:11)
Ещё не все файлы в роторе просмотрел, но из того что просматривал,
вижу запросы к базе, запись, вывод.... А вот как фильтруются запросы в роторе ???
От SQL Injection, в одном метсе где то прописано???
Потому что в каждом запросе не вижу какой либо фильтрации...

почитай об SQL Injection...
ты говоришь что в роторе дырка на дырке
GodZiLLa 27.06.2012 / 02:57
Последний из могикан
0
Ну блин, вот например скан гостевухи:
<?
//index.php
128:	
 $msg = check($_POST['msg']); 
//index.php
137:	
 $msg = no_br($msg); 
//index.php
138:	
 $msg = antimat($msg); 
//index.php
139:	
 $msg = smiles($msg); 
//index.php
144:	
 DB::run()->query("INSERT INTO `guest` (`guest_user`, `guest_text`, `guest_ip`, `guest_brow`, `guest_time`) VALUES (?, ?, ?, ?, ?);", array($log, $msg, $ip, $brow, SITETIME)); 	SQL Injection!
//index.php
128:	
 $msg = check($_POST['msg']); 
//index.php
137:	
 $msg = no_br($msg); 
//index.php
138:	
 $msg = antimat($msg); 
//index.php
139:	
 $msg = smiles($msg); 
//index.php
174:	
 $msg = no_br($msg); 
//index.php
175:	
 $msg = antimat($msg); 
//index.php
176:	
 $msg = smiles($msg); 
//index.php
178:	
 DB::run()->query("INSERT INTO `guest` (`guest_user`, `guest_text`, `guest_ip`, `guest_brow`, `guest_time`) VALUES (?, ?, ?, ?, ?);", array($config['guestsuser'], $msg, $ip, $brow, SITETIME)); 	[color=#ff0000]SQL Injection![/color]
//index.php
128:	
 $msg = check($_POST['msg']); 
//index.php
137:	
 $msg = no_br($msg); 
//index.php
138:	
 $msg = antimat($msg); 
//index.php
139:	
 $msg = smiles($msg); 
//index.php
174:	
 $msg = no_br($msg); 
//index.php
175:	
 $msg = antimat($msg); 
//index.php
176:	
 $msg = smiles($msg); 
//index.php
355:	
 $msg = check($_POST['msg']); 
//index.php
364:	
 $msg = no_br($msg); 
//index.php
365:	
 $msg = antimat($msg); 
//index.php
366:	
 $msg = smiles($msg); 
//index.php
368:	
 DB::run()->query("UPDATE `guest` SET `guest_text`=?, `guest_edit`=?, `guest_edit_time`=? WHERE `guest_id`=?;", array($msg, $log, SITETIME, $id)); 	[color=#ff0000]SQL Injection![/color]

Добавлено через 01:16 сек.
Где фильтрация ???
Вроде понятно вопрос задал, а ответы не туда...
J
JustZero 27.06.2012 / 03:00
Оранжевые штаны
0
$msg = check($_POST['msg']); вот она родная
GodZiLLa 27.06.2012 / 03:11
Последний из могикан
0
Доктор Зло (27 Июня 2012 / 01:00)
$msg = check($_POST['msg']); вот она родная
Формы то оно понятно...
Элементарно, чайнику поясните простую вещь,
запросы к базе в файле типа DB::run()->query("UPDATE `guest` SET `guest_text`=?, `guest_edit`=?, `guest_edit_time`=? WHERE `guest_id`=?;", array($msg, $log, SITETIME, $id)); могут представлять опастность ?
Проверка машиной показывает, что здесь может быть реализована скул иньекция SQL Injection!
Это же ведь должно как то фильтроваться ???
ramzes 27.06.2012 / 06:29
2000 лет д.н.э.
0
выкинь свою программулину
Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск