Скрипт онлайн игры Мир Хаоса

Сайт для реальных пацанов и девчата

Печать RSS

1764

Talean 06.09.2011 / 19:28
Пришелец

Но если все прикрыть, оптимизировать, исправить то хорошая работа выходит))

Apeccc 06.09.2011 / 20:53 Автор
KinG`уренок

10. Talean, удачи.
Взломайте - потом и поговорим, ну а так - и я сказать многое могу

Talean 07.09.2011 / 08:33
Пришелец

там тупо явноя дырка. геты, посты не фильтрцешь вообще! та защита (files/sql.php) до одного места. зная структуру бд, и "защиту" нефиг делать базу ломануть. Там даже не все слова на запросы фильтрует

очистка к примеру)))) да и UNION не прокатит, к примеру, зато UnioN на ура

Zдешний 07.09.2011 / 10:23
Веем холодом

Мм... А мускулу регистр пофиг... Что за защита в sql.php? smile

Talean 07.09.2011 / 12:44
Пришелец

<?php
defined('PROTECTOR') or die('Error: restricted access');
class InitVars {
# Недопустимые слова в запросахINSERT
        var $deny_words = array('UNION','CHAR','INSERT','DELETE','SELECT','UPDATE','GROUP','ORDER','BENCHMARK','union','char','insert','delete','select','update','group','order','benchmark');
function InitVars() {
}
# Метод конвентирует суперглобальные массивы $_POST, $_GET в перемнные
# Например : $_GET['psw'] будет переобразовано в $psw с тем же значением
function convertArray2Vars () {
        foreach($_GET as $_ind => $_val) {
                global $$_ind;
                if(is_array($$_ind)) $$_ind = htmlspecialchars(stripslashes($_val));
        }
        foreach($_POST as $_ind => $_val) {
                global $$_ind;
                if(is_array($$_ind)) $$_ind = htmlspecialchars(stripslashes($_val));
        }
}
# Метод проверяет $_GET и $_POST переменные на наличие опасных данных и SQL инъекций
function checkVars() {
        //Проверка опасных данных.
        foreach($_GET as $_ind => $_val) {
                        $_GET[$_ind] = htmlspecialchars(stripslashes($_val));
                        $exp = explode(" ",$_GET[$_ind]);
                        foreach($exp as $ind => $val) {
                                if(in_array($val,$this->deny_words)) $this->antihack("Запрещено!Доступ закрыт!<br> Ваш ip адресс помечен!");
                        }
        }
        foreach($_POST as $_ind => $_val) {
                        $_POST[$_ind] = htmlspecialchars(stripslashes($_val));
                        $exp = explode(" ",$_POST[$_ind]);
                        foreach($exp as $ind => $val) {
                                if(in_array($val,$this->deny_words)) $this->antihack("Запрещено!Доступ закрыт!<br> Ваш ip адресс помечен!");
                        }
        }
}
function antihack($msg) {
    echo '<font color="red"><b>Antihack error: </b></font>'.$msg.'<br>\n';
    die;
}
}
?>

Вот

Zдешний 07.09.2011 / 12:58
Веем холодом

15. Talean, мда

Talean 07.09.2011 / 13:01
Пришелец

Согласен

Apeccc 07.09.2011 / 14:13 Автор
KinG`уренок

17. Talean, пост номер 12. hello

Talean 08.09.2011 / 09:40
Пришелец

18. Ужасный У, делать мне больше нечего как это ломать)))

fmaster 08.09.2011 / 18:02
Пришелец

Кто мне таблицы зальет, пожалуйста. Гуманитарная помощь безкомповым юзерам, 1.3 мб файл это жесть для моего кедра.

Для выполнения действия необходимо авторизоваться!

Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск