Тест чат 1.0 - Комментарии

Александр (21.08.12 / 12:24)
Чатланин
Код тяжелый и не эффективный. Плюс с инъекциями. Не зачет.
shilo (21.08.12 / 16:06)
Чатланин
Зачем вообще пропустили в скрипты? обменников мало?
Михаил (23.08.12 / 17:23)
Малиновые штаны
Дыра:

$id = $_GET['id'];
$result = mysql_query("SELECT `message` from `chat` WHERE `id` = '$id'");


Дыра:


echo 'Вы не ввели сообщение либо число!<a href="' . $_SERVER['PHP_SELF'] . '">Назад</a>';


Еще две дыры:


if (mysql_query("UPDATE `chat` SET `message` = '" . $_POST['nmsg'] . "' WHERE `id` = '" . $_GET['id'] . "'")) {

note('Сообщение успешно изменено! <a href="' . $_SERVER['PHP_SELF'] . '">Назад</a>');

}

GreeNLine (24.08.12 / 11:41)
Пришелец
echo 'Вы не ввели сообщение либо число!<a href="' . $_SERVER['PHP_SELF'] . '">Назад</a>';


ойй...ухахах...вы беня добьёте с вашими мастерами)))) где вы здесь дырку увидили???)))

$id = $_GET['id']; 
$result = mysql_query("SELECT `message` from `chat` WHERE `id` = '$id'");


2 секунды исправиль))))ухааххах)) ну вы и мастера)))
GreeNLine (24.08.12 / 11:44)
Пришелец
rastoman (21.08.12 / 12:24)
Код тяжелый и не эффективный. Плюс с инъекциями. Не зачет.

правда?а покажи пальчиком, где?
Михаил (24.08.12 / 15:14)
Малиновые штаны
Когда заказчику сайт сломают ты тоже напишешь, что "ухаха, ты чего, ***, не можешь за 2 секунды исправить"? Я то могу твою sql-инъекцию за 2 секунды исправить, но нафига такого человека нанимать, за которым еще бегать и исправлять?
Михаил (24.08.12 / 15:34)
Малиновые штаны
GreeNLine (Сегодня / 11:41)

ойй...ухахах...вы беня добьёте с вашими мастерами)))) где вы здесь дырку увидили???)))

Чего ржешь? Пассивная xss
Александр (24.08.12 / 19:26)
Чатланин
GreeNLine, а че ты так код защищаешь? ты писал? мультиакк? ))
в описании сказано, что данный чат это как портфолио. чтобы мы все ознакомились и впоследствии заказывали у автора скрипты.
вот мы ознакомились и указали на недостатки.
учитесь спокойно признавать ошибки.
Александр (24.08.12 / 19:29)
Чатланин
GreeNLine (Сегодня / 12:44)
правда?а покажи пальчиком, где?

ну например вот.

$total = mysql_result(mysql_query("SELECT count(*) FROM `chat`"), 0);
head(CHAT.'Чатик');
// ///////////////////////////////////////////////
$page = $_GET['page'];
$result = mysql_query("SELECT COUNT(*) FROM `chat`");
$posts = mysql_result($result, 0);

Зачем два раза одинаковый запрос делать?
Артёмка (24.08.12 / 23:46)
Пришелец
там же 0 в первый раз
Для выполнения действия необходимо авторизоваться!