Тест чат 1.0 - Комментарии

⚠️ Bymas - Форум разработчиков
Милый пушистый сайт !!!!
RSS
Александр 21.08.2012 / 12:24
Чатланин
Код тяжелый и не эффективный. Плюс с инъекциями. Не зачет.
shilo 21.08.2012 / 16:06
Чатланин
Зачем вообще пропустили в скрипты? обменников мало?
М
Михаил 23.08.2012 / 17:23
Малиновые штаны
Дыра:

$id = $_GET['id'];
$result = mysql_query("SELECT `message` from `chat` WHERE `id` = '$id'");

Дыра: 

echo 'Вы не ввели сообщение либо число!<a href="' . $_SERVER['PHP_SELF'] . '">Назад</a>';

Еще две дыры:

 if (mysql_query("UPDATE `chat` SET `message` = '" . $_POST['nmsg'] . "' WHERE `id` = '" . $_GET['id'] . "'")) {

            note('Сообщение успешно изменено! <a href="' . $_SERVER['PHP_SELF'] . '">Назад</a>');

        }
G
GreeNLine 24.08.2012 / 11:41
Пришелец 
echo 'Вы не ввели сообщение либо число!<a href="' . $_SERVER['PHP_SELF'] . '">Назад</a>';

ойй...ухахах...вы беня добьёте с вашими мастерами)))) где вы здесь дырку увидили???)))

$id = $_GET['id']; 
$result = mysql_query("SELECT `message` from `chat` WHERE `id` = '$id'");

2 секунды исправиль))))ухааххах)) ну вы и мастера)))
G
GreeNLine 24.08.2012 / 11:44
Пришелец
rastoman (21.08.12 / 12:24)
Код тяжелый и не эффективный. Плюс с инъекциями. Не зачет.
правда?а покажи пальчиком, где?
М
Михаил 24.08.2012 / 15:14
Малиновые штаны
Когда заказчику сайт сломают ты тоже напишешь, что "ухаха, ты чего, ***, не можешь за 2 секунды исправить"? Я то могу твою sql-инъекцию за 2 секунды исправить, но нафига такого человека нанимать, за которым еще бегать и исправлять?
М
Михаил 24.08.2012 / 15:34
Малиновые штаны
GreeNLine (Сегодня / 11:41)

ойй...ухахах...вы беня добьёте с вашими мастерами)))) где вы здесь дырку увидили???)))
Чего ржешь? Пассивная xss
Александр 24.08.2012 / 19:26
Чатланин
GreeNLine, а че ты так код защищаешь? ты писал? мультиакк? ))
в описании сказано, что данный чат это как портфолио. чтобы мы все ознакомились и впоследствии заказывали у автора скрипты.
вот мы ознакомились и указали на недостатки.
учитесь спокойно признавать ошибки.
Александр 24.08.2012 / 19:29
Чатланин
GreeNLine (Сегодня / 12:44)
правда?а покажи пальчиком, где?
ну например вот.
$total = mysql_result(mysql_query("SELECT count(*) FROM `chat`"), 0); 
        head(CHAT.'Чатик'); 
        // ///////////////////////////////////////////////
        $page = $_GET['page']; 
        $result = mysql_query("SELECT COUNT(*) FROM `chat`"); 
        $posts = mysql_result($result, 0);
Зачем два раза одинаковый запрос делать?
А
Артёмка 24.08.2012 / 23:46
Пришелец
там же 0 в первый раз