Войти
Регистрация
VK
KATSTAT.RU-ТОП РЕЙТИНГ САЙТОВ С ОТДАЧЕЙ
Уникальная онлайн игра! ЗАЙДИ И ОЦЕНИ!
Дешёвый Хостинг Сайтов
Принимай платеж на свои сайты без блоков
WorldByte - Наш хостинг - партнер
Свободное общение
| Нашел код не внушающий доверия
Топ дня:
e
t
o
z
h
e
m
a
k
s
388830670
[!]
Автор
4 августа 2020, в 13:49
Рейтинг: 791
Ковырялся в модах всяких и нашел такой код, связанный с обменом рейтинга
Показываю кусок:
$rating = mysql_real_escape_string($_POST['sum']);
$money = $rating * 10;
Этот код, как я понял дает за 1 единицу рейтинга 10 монет и записывает дальше в бд к юзеру.
Судя по выбранному методу фильтрации в окне ввода количества единиц рейтинга можно проделать пакости. Достаточно приписать знак минус перед суммой.
А вам что приходит в голову? Как бы вы напакостили?
________
посл. ред. 04.08.2020 в 13:51; всего 3 раз(а); by 388830670
Z
h
u
l
i
a
m
u
r
[!]
4 августа 2020, в 14:06
Рейтинг: 232
388830670
, никак
R
u
B
y
4 августа 2020, в 14:23
Аниме онлайн --> anilibria.uno
Тут как бы не все хакеры, я вот к примеру, даже бы не узнал о такой уязвимости.
С
У
З
У
Н
Э
Х
О
Р
И
К
И
Т
А
4 августа 2020, в 14:29
Рейтинг: 1875
и?
DELETED
4 августа 2020, в 14:33
Delete
[delete]
________
посл. ред. 04.08.2020 в 14:37; всего 1 раз(а); by Миледи
Z
n
T
o
r
4 августа 2020, в 14:56
Рейтинг: 5471
388830670
, обычно перед запросом ставят условие >0
388830670
[!]
Автор
4 августа 2020, в 15:01
Рейтинг: 791
ZnTor
, лично я предпочитаю адекватный вариант $rating = abs(intval($_POST['sum']));
388830670
[!]
Автор
4 августа 2020, в 15:02
Рейтинг: 791
AgentM
, да кому он в 2020 году нужен, этот mysql_real_escape_string, тем более для работы с числами
F
o
u
r
4 августа 2020, в 17:03
Эй дуги возьми трубку, Чувааакк!!!ด
пост 7
Uran
4 августа 2020, в 18:09
ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็
388830670 (04.08.2020 в 13:49)
Ковырялся в модах всяких и нашел такой код, связанный с обменом рейтинга
Показываю кусок:
$rating = mysql_real_escape_string($_POST['sum']);
$money = $rating * 10;
Этот код, как я понял дает за 1 единицу рейтинга 10 монет и записывает дальше в бд к юзеру.
Судя по выбранному методу фильтрации в окне ввода количества единиц рейтинга можно проделать пакости. Достаточно приписать знак минус перед суммой.
А вам что приходит в голову? Как бы вы напакостили?
На нумерический запрос поставлен текстовый фильтр от sql инъекции. Т.е. так нельзя вообще. Ломают сайт без проблем
Стр.:
1
,
2
Форум
На главную
Онлайн:
7
Время: 09:14:08
Gen. 0.1103
(c) ByMAS.RU 2010-2024