проверте его на уязвимость
зарегитесь войдите в чат там и так дале
www.allday.ho.ua/chat.php
Спустя 5 минут, 29 секунд (4.03.2009 - 17:10) jetistyum написал(а):
ыы... тебе почитать нужно справочник по другому языку - русскому 
))
)) Спустя 3 минуты, 56 секунд (4.03.2009 - 17:14) sergeiss написал(а):
Ты хочешь распугать всех сразу же этим ярким красным цветом? Аж глаза режет. Смени его!!!
Удалил второе предложение Потому что уже смог зайти.
Удалил второе предложение
Потому что уже смог зайти. Спустя 1 минута, 30 секунд (4.03.2009 - 17:16) jetistyum написал(а):
хм, ты о хтмл читал????
про стандарты слышал???
про стандарты слышал???
| HTML |
| <body bgcolor=yellow><center><h1>Регистрация Шаг 1.</h1><br><form action=/registration.php method=POST><table><tr><td>Имя*:</td><td> <input type=text name=name maxlenght=15></td><td></tr><tr><td>Пароль*:</td><td><input type=password name=pass></td></tr><tr><td>E-mail*:</td><td><input type=text name=email></td></tr><tr><td>Выберите цвет:</td><td><select name=color> <option value=black>Чёрный</option> <option value=red>Красный</option> <option value=blue>Синий</option> <option value=yellow>Жёлтый</option> <option value=lime>Салатовый</option> <option value=green>Зелёный</option></select></td></tr><tr><td>ICQ: </td><td><input type=text name=icq></td></tr><tr><td></td><td></td></tr><tr><td>Skype:</td><td><input type=text name=skype></td></tr><tr><td>Что вас Интересует?:</td><td><select name=inter> <option value=all>Обшие Интересы</option> <option value=rinok>Куплю/Продам</option> <option value=animal>Жывотные</option> <option value=pc>Программирование/Компютеры</option> <option value=love>Знакомства</option> <option value=sex>Sex/Porno</select></td></tr><tr><td>Интересые/Немного о себе:</td><td><textarea name=opisanie maxlenght=200></textarea></td></tr><tr><td><input type=submit name=su></td></tr> |
Спустя 1 минута, 5 секунд (4.03.2009 - 17:17) jetistyum написал(а):
при чем это полный код странички, а не выдержка....
по вышеприведённой ссылке регистрации..
по вышеприведённой ссылке регистрации..
Спустя 5 минут, 15 секунд (4.03.2009 - 17:22) sergeiss написал(а):
То, что сам сделал, это хорошо
Но я буду критиковать Неправильно пишется время (все нули), и надо бы, чтоб было показано хотя бы количество юзеров в комнате. Даже если больше никого нету, то так и должно быть написано.
Еще так и просится кнопка "Обновить". Потому что как иначе я прочитаю то, что кто-то другой написал, ежели я ничего больше отправлять пока не намерен?
Затем. Я не совсем понял, зачем iframe? Тем более, что идет ссылка на ту же страницу, что и основная, но только с другим параметром. Смысл? Не проще ли просто выводить текст в textarea?
PS. Да, и заголовков никаких нету у страницы...
Но я буду критиковать
Неправильно пишется время (все нули), и надо бы, чтоб было показано хотя бы количество юзеров в комнате. Даже если больше никого нету, то так и должно быть написано.Еще так и просится кнопка "Обновить". Потому что как иначе я прочитаю то, что кто-то другой написал, ежели я ничего больше отправлять пока не намерен?
Затем. Я не совсем понял, зачем iframe? Тем более, что идет ссылка на ту же страницу, что и основная, но только с другим параметром. Смысл? Не проще ли просто выводить текст в textarea?
PS. Да, и заголовков никаких нету у страницы...
Спустя 15 часов, 38 минут, 54 секунды (5.03.2009 - 09:01) lawbreaker написал(а):
Вот код talk.php
говорите что нетак
говорите что нетак
| PHP |
<?php |
Спустя 7 часов, 27 минут, 38 секунд (5.03.2009 - 16:29) Семён написал(а):
1) lawbreaker ты меня конечно извини, но чат ведро 
)))))
2) Сбил пароль к твоему аккаунту lawbreaker
)))))2) Сбил пароль к твоему аккаунту lawbreaker
Спустя 9 часов, 1 минута, 15 секунд (6.03.2009 - 01:30) lawbreaker написал(а):
Семён
а как ты пароль узнал то?
скажы я заделаю дыру)
а как ты пароль узнал то?
скажы я заделаю дыру)
Спустя 7 часов, 13 минут, 30 секунд (6.03.2009 - 08:43) sergeiss написал(а):
| Цитата (lawbreaker @ 6.03.2009 - 01:30) |
| Семён а как ты пароль узнал то? скажы я заделаю дыру) |
| PHP |
$in = "INSERT INTO `allday`.`chat_text` (`id`,`date`,`user`,`text`,`private`,`room`) VALUES('','".$de."','".$sqla['user']."','".$_POST['text']."','','".$_GET['room']."')"; |
Вот отсюда. Или $_POST['text'] это использовал, или $_GET['room'].
Типичная SQL-инъекция, через "классическую" дыру
А ведь достаточно было просто экранировать кавычки...
Спустя 5 часов, 36 минут, 23 секунды (6.03.2009 - 14:20) lawbreaker написал(а):
sergeiss
не понял. что зделать с кавычками?
как мне дыру заделать?
не понял. что зделать с кавычками?
как мне дыру заделать?
Спустя 12 минут, 56 секунд (6.03.2009 - 14:33) sergeiss написал(а):
Читай тут: http://ru.wikipedia.org/wiki/Инъекция_SQL
Спустя 4 минуты, 44 секунды (6.03.2009 - 14:37) lawbreaker написал(а):
oO
так много читать )
ето не для меня
так много читать )
ето не для меня
Спустя 5 минут, 17 секунд (6.03.2009 - 14:43) sergeiss написал(а):
| Цитата (lawbreaker @ 6.03.2009 - 14:37) |
| oO так много читать ) ето не для меня |
В таком случае я лично больше ни на один твой вопрос отвечать не буду
Потому как я готов ПОМОЧЬ тому, кому нужна помощь. Но на халявщиков я тратить время не хочу. ОК?
И я также призываю к этому всех форумчан!!! Ибо - нефиг
Любой человек или думает сам, или он не программист, а халявщик. Спустя 6 минут, 11 секунд (6.03.2009 - 14:49) lawbreaker написал(а):
дауж. значит я халявчик (
Спустя 19 минут, 34 секунды (6.03.2009 - 15:08) sergeiss написал(а):
| Цитата (lawbreaker @ 6.03.2009 - 14:49) |
| дауж. значит я халявчик ( |
Халявщик. Да, он самый.
Потому что тебе лень потратить 10 минут на прочтение текста, который тебе поможет потом в будущем делать хакероустойчивые сайты. И ты хочешь, чтобы эту же самую информацию тебе тут разжевали, в более коротком виде. Как это называется, по-твоему, если не халява?
Кстати. На задавание дополнительных вопросов и их прочтение (и на ожидание ответов!!!) ты потратишь времени больше (в разы, в десятки раз), чем если прочитаешь специализированный текст. Даже если по ссылкам с той страницы пройдешь, то все равно времени потратишь меньше.
Спустя 8 часов, 13 минут, 50 секунд (6.03.2009 - 23:22) Семён написал(а):
А я ведь этого неуча уже когда-то предупреждал о использовании mysql_real_escape_string, но человек явно игнорирует литературу и советы...
Спустя 22 часа, 52 минуты, 52 секунды (7.03.2009 - 22:15) DDoSяН написал(а):
Юзай htmlspecialchars() , mysql_real_escape_string() ,
if (!is_numeric($id)){die("ХАцкер атемптед!!!");}
где ID = GET параметр страницы
это 90% защиты, и не надо городить столжных функций( с LIKE итд, свой геморр )
if (!is_numeric($id)){die("ХАцкер атемптед!!!");}
где ID = GET параметр страницы
это 90% защиты, и не надо городить столжных функций( с LIKE итд, свой геморр )
Спустя 2 часа, 13 минут, 55 секунд (8.03.2009 - 00:29) Семён написал(а):
Однако секрет сбивки пароля далеко не в mysql_real_escape_string или подобных проверках, а в неправильности написания самого скрипта. 
_____________
Я Андрей и мне 14 лет :)
И ни как не дождусь когда HardWoman меня удалит