bymas.ru | Нашел код не внушающий доверия

KATSTAT.RU-ТОП РЕЙТИНГ САЙТОВ С ОТДАЧЕЙ
Уникальная онлайн игра! ЗАЙДИ И ОЦЕНИ!
Дешёвый Хостинг Сайтов
Принимай платеж на свои сайты без блоков
WorldByte - Наш хостинг - партнер

Топ дня:

etozhemaks

Ковырялся в модах всяких и нашел такой код, связанный с обменом рейтинга

Показываю кусок:

$rating = mysql_real_escape_string($_POST['sum']);

$money = $rating * 10;

Этот код, как я понял дает за 1 единицу рейтинга 10 монет и записывает дальше в бд к юзеру.

Судя по выбранному методу фильтрации в окне ввода количества единиц рейтинга можно проделать пакости. Достаточно приписать знак минус перед суммой.

А вам что приходит в голову? Как бы вы напакостили?

________
посл. ред. 04.08.2020 в 13:51; всего 3 раз(а); by 388830670

388830670, никак

Тут как бы не все хакеры, я вот к примеру, даже бы не узнал о такой уязвимости.

и?

[delete]
________
посл. ред. 04.08.2020 в 14:37; всего 1 раз(а); by Миледи

388830670, обычно перед запросом ставят условие >0

ZnTor, лично я предпочитаю адекватный вариант $rating = abs(intval($_POST['sum']));

AgentM, да кому он в 2020 году нужен, этот mysql_real_escape_string, тем более для работы с числами

пост 7

388830670 (04.08.2020 в 13:49)
Ковырялся в модах всяких и нашел такой код, связанный с обменом рейтинга

Показываю кусок:

$rating = mysql_real_escape_string($_POST['sum']);

$money = $rating * 10;

Этот код, как я понял дает за 1 единицу рейтинга 10 монет и записывает дальше в бд к юзеру.

Судя по выбранному методу фильтрации в окне ввода количества единиц рейтинга можно проделать пакости. Достаточно приписать знак минус перед суммой.

А вам что приходит в голову? Как бы вы напакостили?

На нумерический запрос поставлен текстовый фильтр от sql инъекции. Т.е. так нельзя вообще. Ломают сайт без проблем

Онлайн: 7