Sql-injection

[minko 0]

найдена Sql-injection в DLE 7.0 .. слепой инжект кстати.. использование в заголовке X-FORWARDED-FOR .. если покопаться, взломать можно.. исправьте

[celsoft 6221]

найдена Sql-injection в DLE 7.0 .. слепой инжект кстати.. использование в заголовке X-FORWARDED-FOR .. если покопаться, взломать можно.. исправьте

вообще то скрипт нигде не использует X-FORWARDED-FOR, как вы нашли там уязвимость непонятно. Для получения IP скрипт использует только REMOTE_ADDR

[wild 0]

(предполагаю) он нашёл это в версии нулЬ )) кстати товарищи пользуясь случаем хочу сказатЬ

не доверяйте бесплатному... во многих случаях в них инклудят лазейки для последующего пользования несведующий взгляд пропустит мимо... а в тех поддержке скажут что сами виноваты.. и эт справедливо

[Al-x 7]

Если не ошибаюсь, то есть в одном из модулей бесплатных... каком, просто не помню, возможно он-лайн старых версий, смотрите сами....

[minko 0]

да я и подумал что наверное из-за модуля онлайн... но не старый.. =\

[Al-x 7]

minko,

90% существующих модулей он-лайн базируются на старом-старом модуле он-лайн от Pav, так что я не оговорился) Все кому не лень его переделывают и выпускают)

[piples 0]

Так что лучше его не ставить?!

А мот тогда подскажете защищёный модуль "Кто онлайн"

[demon165 8]

фикс модуля:

Меняем

$ip = online_skip($_SERVER['HTTP_X_FORWARDED_FOR']);

на

$ip = mysql_escape_string(htmlspecialchars($_SERVER['HTTP_X_FORWARDED_FOR']));