закрыть уязвимость
1.
Удаленный (29.12.2010 / 17:46)
есть такая уязвимость :
http://домен.ком/chat.php?start=-20+union+select+from+users+limit+1
выдает следущее : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20 union select from users limit 1, 10' at line 1
как закрыть эту дырку?
2.
ZaRiN (29.12.2010 / 18:16)
фильтруй принятые данные
3.
Удаленный (29.12.2010 / 18:20)
2.спс) дай плиз мануал как филтровать принятые данные
4.
Studentsov (29.12.2010 / 23:10)
$var = mysql_real_escape_string ($var);
Но в твоём случае, когда переменная должна быть числом, надо писать $var = (int)$var;
5.
Удаленный (30.12.2010 / 00:34)
4.спс
6.
iNeeXT (30.12.2010 / 11:37)
в твоём случае
http://букмекерка.ком/chat.php?start=-20+union+select+from+users+limit+1
<?
/* Функция отфильтровки чисел */
function int($int)
{
return abs((int)$int);
}
?>
и фильтрируешь
место my_htmlspecialchars($_GET['start']);
а
int($_GET['start']);
это тебе (GUF) угрожает?
URL:
https://visavi.net/topics/17085