Перейти к публикации

Sql-injection


minko

Рекомендованные сообщения

найдена Sql-injection в DLE 7.0 .. слепой инжект кстати.. использование в заголовке X-FORWARDED-FOR .. если покопаться, взломать можно.. исправьте ;)

Ссылка на сообщение
Поделиться на других сайтах

найдена Sql-injection в DLE 7.0 .. слепой инжект кстати.. использование в заголовке X-FORWARDED-FOR .. если покопаться, взломать можно.. исправьте

вообще то скрипт нигде не использует X-FORWARDED-FOR, как вы нашли там уязвимость непонятно. Для получения IP скрипт использует только REMOTE_ADDR

Ссылка на сообщение
Поделиться на других сайтах

(предполагаю) он нашёл это в версии нулЬ )) кстати товарищи пользуясь случаем хочу сказатЬ

не доверяйте бесплатному... во многих случаях в них инклудят лазейки для последующего пользования -_- несведующий взгляд пропустит мимо... а в тех поддержке скажут что сами виноваты.. и эт справедливо

Ссылка на сообщение
Поделиться на других сайтах

Если не ошибаюсь, то есть в одном из модулей бесплатных... каком, просто не помню, возможно он-лайн старых версий, смотрите сами....

Ссылка на сообщение
Поделиться на других сайтах
  • 3 недели спустя...

minko,

90% существующих модулей он-лайн базируются на старом-старом модуле он-лайн от Pav, так что я не оговорился) Все кому не лень его переделывают и выпускают)

Ссылка на сообщение
Поделиться на других сайтах
  • 2 месяца спустя...
  • 5 недель спустя...

фикс модуля:

Меняем

$ip = online_skip($_SERVER['HTTP_X_FORWARDED_FOR']);
на
$ip = mysql_escape_string(htmlspecialchars($_SERVER['HTTP_X_FORWARDED_FOR']));

Ссылка на сообщение
Поделиться на других сайтах

Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

×
×
  • Создать...