Перейти к публикации

Рекомендованные сообщения

найдена Sql-injection в DLE 7.0 .. слепой инжект кстати.. использование в заголовке X-FORWARDED-FOR .. если покопаться, взломать можно.. исправьте ;)

Ссылка на сообщение
Поделиться на других сайтах

найдена Sql-injection в DLE 7.0 .. слепой инжект кстати.. использование в заголовке X-FORWARDED-FOR .. если покопаться, взломать можно.. исправьте

вообще то скрипт нигде не использует X-FORWARDED-FOR, как вы нашли там уязвимость непонятно. Для получения IP скрипт использует только REMOTE_ADDR

Ссылка на сообщение
Поделиться на других сайтах

(предполагаю) он нашёл это в версии нулЬ )) кстати товарищи пользуясь случаем хочу сказатЬ

не доверяйте бесплатному... во многих случаях в них инклудят лазейки для последующего пользования -_- несведующий взгляд пропустит мимо... а в тех поддержке скажут что сами виноваты.. и эт справедливо

Ссылка на сообщение
Поделиться на других сайтах

Если не ошибаюсь, то есть в одном из модулей бесплатных... каком, просто не помню, возможно он-лайн старых версий, смотрите сами....

Ссылка на сообщение
Поделиться на других сайтах
  • 3 недели спустя...

minko,

90% существующих модулей он-лайн базируются на старом-старом модуле он-лайн от Pav, так что я не оговорился) Все кому не лень его переделывают и выпускают)

Ссылка на сообщение
Поделиться на других сайтах
  • 2 месяца спустя...

Так что лучше его не ставить?!

А мот тогда подскажете защищёный модуль "Кто онлайн"

Ссылка на сообщение
Поделиться на других сайтах
  • 5 недель спустя...

фикс модуля:

Меняем

$ip = online_skip($_SERVER['HTTP_X_FORWARDED_FOR']);
на
$ip = mysql_escape_string(htmlspecialchars($_SERVER['HTTP_X_FORWARDED_FOR']));

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...