Баги с регистрацией пользователей в DLE

[zhekka3 0]

Если зарегистрировать пользователя с логином, содержащим круглые скобки, то возможна повторная его регистрация, при которой возникает SQL ошибка

MySQL Error!

------------------------

The Error returned was:

Duplicate entry 'login)' for key 2

Error Number:

1062

...

[celsoft 6 072]

принято

[error2k 2]

А зачем вообще добавили скобки в список допустимых символов логина?.. мне вот даже интересно..

[zhekka3 0]

Ошибка в том, что SQL воспринимает круглые скобки как спец. символы в регулярных выражениях

$db->query ("SELECT name FROM " . USERPREFIX . "_users WHERE LOWER(name) REGEXP '[[:<:]]{$name}[[:>:]]'");

[celsoft 6 072]

Ошибка в том, что SQL воспринимает круглые скобки как спец. символы в регулярных выражениях

Неверно, посмотрите на ошибку MySQL, это не синтаксическая ошибка. Это срабатывает дополнительная защита в MySQL от регистрации одинаковых логинов, если срипт случайно пропустит в проверке одинанаковый логин, то сработает дополнительно установленная защита на уровне БД. Данная ошибка не является ошибкой в безопасности скрипта.

[zhekka3 0]

Нашёл еще один баг.

Если пользователь при регистрации нового аккуанта выберет пароль, включающий кроме букв и цифр, знаки, например, применяемые в SQL-запросах

/ * " и т. д.

то его вход на сайт будет не возможен из-за экранирования пароля, для защиты от SQL-инъекции Если пароль, например,

""""/**/

то он преобретает вид

\\"\\"\\"\\"/**/

Кстати, зачем экранировать пароль, если он в SQL-запросе представляется md5 хешем?

Изменено 26 января 2008 пользователем zhekka3

[celsoft 6 072]

Кстати, зачем экранировать пароль, если он в SQL-запросе представляется md5 хешем?

Да согласен это лишнее.

[wildshaman 0]

И может не туда, раз уш пошла такая тема: почему это у меня не зоходит в профиль юзерей, в логине которых есть русские символы. Вроде у всех работает а у мну нет...