Вопрос - Ответ по RotorCMS

Ещё не все файлы в роторе просмотрел, но из того что просматривал,
вижу запросы к базе, запись, вывод.... А вот как фильтруются запросы в роторе ???
От SQL Injection, в одном метсе где то прописано???
Потому что в каждом запросе не вижу какой либо фильтрации...

И что, никто не в курсе ???
В любом файле можно запросы делать или каждый запрос фильтровать ?
Или где есть уже шаблон фильтра и он действует на каждый зпрос в любом файле ???

1402: ®_GodZiIIa_€, у роторе есть ф-ция check

1403. Доктор Зло, дык где она, в функционс ???
Она распространяется на запрос из всех файлов ?

Господи....
Не запросы фильтруют, а переменные

®_GodZiIIa_€ (26 Июня 2012 / 12:11)
Ещё не все файлы в роторе просмотрел, но из того что просматривал,
вижу запросы к базе, запись, вывод.... А вот как фильтруются запросы в роторе ???
От SQL Injection, в одном метсе где то прописано???
Потому что в каждом запросе не вижу какой либо фильтрации...

почитай об SQL Injection...
ты говоришь что в роторе дырка на дырке

Ну блин, вот например скан гостевухи:

<?
//index.php
128:	
 $msg = check($_POST['msg']); 
//index.php
137:	
 $msg = no_br($msg); 
//index.php
138:	
 $msg = antimat($msg); 
//index.php
139:	
 $msg = smiles($msg); 
//index.php
144:	
 DB::run()->query("INSERT INTO `guest` (`guest_user`, `guest_text`, `guest_ip`, `guest_brow`, `guest_time`) VALUES (?, ?, ?, ?, ?);", array($log, $msg, $ip, $brow, SITETIME)); 	SQL Injection!
//index.php
128:	
 $msg = check($_POST['msg']); 
//index.php
137:	
 $msg = no_br($msg); 
//index.php
138:	
 $msg = antimat($msg); 
//index.php
139:	
 $msg = smiles($msg); 
//index.php
174:	
 $msg = no_br($msg); 
//index.php
175:	
 $msg = antimat($msg); 
//index.php
176:	
 $msg = smiles($msg); 
//index.php
178:	
 DB::run()->query("INSERT INTO `guest` (`guest_user`, `guest_text`, `guest_ip`, `guest_brow`, `guest_time`) VALUES (?, ?, ?, ?, ?);", array($config['guestsuser'], $msg, $ip, $brow, SITETIME)); 	[color=#ff0000]SQL Injection![/color]
//index.php
128:	
 $msg = check($_POST['msg']); 
//index.php
137:	
 $msg = no_br($msg); 
//index.php
138:	
 $msg = antimat($msg); 
//index.php
139:	
 $msg = smiles($msg); 
//index.php
174:	
 $msg = no_br($msg); 
//index.php
175:	
 $msg = antimat($msg); 
//index.php
176:	
 $msg = smiles($msg); 
//index.php
355:	
 $msg = check($_POST['msg']); 
//index.php
364:	
 $msg = no_br($msg); 
//index.php
365:	
 $msg = antimat($msg); 
//index.php
366:	
 $msg = smiles($msg); 
//index.php
368:	
 DB::run()->query("UPDATE `guest` SET `guest_text`=?, `guest_edit`=?, `guest_edit_time`=? WHERE `guest_id`=?;", array($msg, $log, SITETIME, $id)); 	[color=#ff0000]SQL Injection![/color]

Добавлено через 01:16 сек.
Где фильтрация ???
Вроде понятно вопрос задал, а ответы не туда...

$msg = check($_POST['msg']); вот она родная

Доктор Зло (27 Июня 2012 / 01:00)
$msg = check($_POST['msg']); вот она родная

Формы то оно понятно...
Элементарно, чайнику поясните простую вещь,
запросы к базе в файле типа DB::run()->query("UPDATE `guest` SET `guest_text`=?, `guest_edit`=?, `guest_edit_time`=? WHERE `guest_id`=?;", array($msg, $log, SITETIME, $id)); могут представлять опастность ?
Проверка машиной показывает, что здесь может быть реализована скул иньекция SQL Injection!
Это же ведь должно как то фильтроваться ???

выкинь свою программулину