Форум PHP программистов > оцените) не ломайте)

[ Поиск ] - [ Пользователи ] - [ Календарь ]

megadom

24.07.2012 - 20:06

Оцените, всё по учебнику.. почти..)
недвижимость

прощу много критики!

Спустя 30 минут, 5 секунд (24.07.2012 - 19:37) kamanch написал(а):

Сразу же
http://54realty.ru/variant/'
Базу украли, считай.

Так же, если я сохраняю у себя твой html и в фильтре в качестве значений подставляю одинарную ковычку,

<select name="form[value1]">
<option value="'">комнаты</option>
..........

то получаем тоже самое, что и в первом варианте


2012-07-24 11:40:04 MySQL error: 
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' AND variant.action=1 AND variant.type=type.type_id' at line 1

Query: 
SELECT * FROM variant,type WHERE variant.type = ''' AND variant.action=1 AND variant.type=type.type_id

Так и должно быть? - http://54realty.ru/variant/10000000000000000000000

В коментарий, если одинарную ковычку пишем...
В обшем, ты вообще там входные данные не фильтруешь.

Спустя 24 минуты, 34 секунды (24.07.2012 - 20:01) megadom написал(а):

спасибо!)

Цитата

Так и должно быть? - http://54realty.ru/variant/10000000000000000000000

исправлю) не думал об этом

Цитата

Сразу же
http://54realty.ru/variant/'
Базу украли, считай.

ну я же сказал, что по учебнику) это критично или плохо?

Цитата

Так же, если я сохраняю у себя твой html и в фильтре в качестве значений подставляю одинарную ковычку,
<select name="form[value1]">
<option value="'">комнаты</option>
..........

то получаем тоже самое, что и в первом варианте

про это не понял? откуда ты взял мой селект? кошмар

Спустя 50 секунд (24.07.2012 - 20:02) Winston написал(а):

Цитата (megadom @ 24.07.2012 - 20:01)

это критично или плохо?

Это катастрофически плохо...

Спустя 7 минут, 14 секунд (24.07.2012 - 20:09) megadom написал(а):

'#^[а-я\А-Я\0-9\ \.\,\?\!]{1,400}$#ui'

так проверяю строку из комментария, что не так?

Спустя 2 минуты, 16 секунд (24.07.2012 - 20:11) megadom написал(а):

Цитата

Это катастрофически плохо...

чем плохо то? из-за того что не моё?
или дырявое?

Спустя 2 минуты, 48 секунд (24.07.2012 - 20:14) Winston написал(а):

Цитата (megadom @ 24.07.2012 - 20:11)

чем плохо то?

А ты считаешь, что дырки благодаря которым можно базу грохнуть - нормально?

Цитата (megadom @ 24.07.2012 - 20:11)

из-за того что не моё?

Что значит не твое? Не ты писал?

Спустя 5 минут, 42 секунды (24.07.2012 - 20:20) megadom написал(а):

Цитата

Цитата (megadom @ 24.07.2012 - 20:11)
чем плохо то?

А ты считаешь, что дырки благодаря которым можно базу грохнуть - нормально?
Цитата (megadom @ 24.07.2012 - 20:11)
из-за того что не моё?

Что значит не твое? Не ты писал?

да я не правильно понял... - я подумал про ядро.
писал я.

дыры просто пипец

я в шоке........)

Спустя 22 минуты, 46 секунд (24.07.2012 - 20:43) alexbel2404 написал(а):

Спустя 4 минуты, 25 секунд (24.07.2012 - 20:47) kamanch написал(а):

megadom
Вот это выполни Задача на корректную обработку данных
И, как пишется в статье

Цитата

Решив эту несложную задачку, Вы раз и на всегда покончите с сомнениями на счет SQL-инъекций и правильного отображения данных.

Спустя 50 секунд (24.07.2012 - 20:48) alexbel2404 написал(а):

а чо комменты не добавляются?(

Спустя 2 минуты, 39 секунд (24.07.2012 - 20:51) megadom написал(а):

фууу... исправил..)))))

Цитата

а чо комменты не добавляются?(

как не добавляются? не может быть!!!) правильно заполняй)
только что проверил!

Спустя 1 минута, 38 секунд (24.07.2012 - 20:52) alexbel2404 написал(а):

в регулярку то a-zA-Z добавь)

Спустя 1 минута, 56 секунд (24.07.2012 - 20:54) megadom написал(а):

Цитата

Вот это выполни Задача на корректную обработку данных
И, как пишется в статье
Цитата
Решив эту несложную задачку, Вы раз и на всегда покончите с сомнениями на счет SQL-инъекций и правильного отображения данных.

спасибо, исправил почти всё, вот только не понял про фильтр, как ты в фильтр залез?

Спустя 1 минута, 13 секунд (24.07.2012 - 20:55) megadom написал(а):

Цитата

в регулярку то a-zA-Z добавь)

да мы вроде по русски говорим и пишем, зачем там английские буквы?

Спустя 3 минуты, 42 секунды (24.07.2012 - 20:59) kamanch написал(а):

megadom
Правой кнопочкой мышки тык - исходный код страницы.

Спустя 30 минут, 22 секунды (24.07.2012 - 21:29) megadom написал(а):

я имею ввиду - сохраняю себе html, меняю 1 на ' и ?
у меня ничего не происходит. я не вижу селектов.
я сохраненный html запускаю и всё нормально..
я конечно, уже проверку поставил, что бы только цифры были, но..
как ещё можно сломать?

Спустя 2 минуты, 16 секунд (24.07.2012 - 21:32) kamanch написал(а):

Цитата

я сохраненный html запускаю и всё нормально..

Ну так и кнопку "Найти" нажми

Спустя 1 минута, 13 секунд (24.07.2012 - 21:33) bodja написал(а):

Диз простенький ,но со вкусом,флешка тура понравилать ,надо взять на заметку.
ЗЫ Так ломать можно или нильзя,мы еще коменты почешем,а вдруг прохляет.

Спустя 10 минут (24.07.2012 - 21:43) megadom написал(а):

Цитата

Ну так и кнопку "Найти" нажми

уже все поменял на кавычку - 0 эмоций! не пойму, в чём хак?

Спустя 1 минута, 19 секунд (24.07.2012 - 21:44) megadom написал(а):

Цитата

спасибки!

Спустя 5 минут, 53 секунды (24.07.2012 - 21:50) megadom написал(а):

<form method="post" action="">
<select name="form[value1]">
	<option value="">Все варианты</option>
        <option value="'">комнаты</option>
        <option value="'">1к.кв.</option>
        <option value="'">2к.кв.</option>
        <option value="'">3к.кв.</option>
        <option value="'">4 и более</option>
        <option value="'">дома/коттеджи</option>
        <option value="'">земля</option>
        <option value="'">коммерческая</option>
        <option value="'">дачи</option>
        <option value="'">гаражи</option>
</select>
<input name="ok" type="submit" value="Найти">
</form>

запускаю в браузере html с таким содержанием формы.
ничего не происходит, просто сбрасывает выпадающий список на "все варианты"
объясни? где я туплю?

Спустя 2 минуты, 47 секунд (24.07.2012 - 21:53) bodja написал(а):

megadom
Спасибо - да или спасибо-ненадо ?

Спустя 1 минута, 38 секунд (24.07.2012 - 21:55) megadom написал(а):

надо-надо!)

Спустя 6 минут, 11 секунд (24.07.2012 - 22:01) kamanch написал(а):

megadom

<form method="post" action="">

action куда ведет? На твою же локально сохраненную страничку. В ней подставь

<form method="post" action="http://54realty.ru/catalog/index.php">

И будет тебе счастье. Вернее несчастье :)

Спустя 10 минут, 28 секунд (24.07.2012 - 22:11) bodja написал(а):

Гы-Гы-Гы
Хулиган я однако

http://54realty.ru/variant/26

Спустя 6 часов, 44 минуты (25.07.2012 - 04:55) megadom написал(а):

Цитата

Гы-Гы-Гы
Хулиган я однако

и что с такими словами делать?

Спустя 9 минут, 17 секунд (25.07.2012 - 05:04) megadom написал(а):

Цитата

megadom
<form method="post" action="">

action куда ведет? На твою же локально сохраненную страничку. В ней подставь
<form method="post" action="http://54realty.ru/catalog/index.php">

И будет тебе счастье. Вернее несчастье :)

сделал как ты сказал, просто всё на главную страничку redirect-нулось и всё, я опять туплю?

<form method="post" action="http://54realty.ru/catalog/index.php">
  <select name="form[value1]">
  <option value="">Все варианты</option>
  <option value="'">комнаты</option>

такая фишка не проходит! :)
как ещё можно сломать?

Спустя 4 часа, 25 минут, 36 секунд (25.07.2012 - 09:30) bodja написал(а):

megadom
Обрезать ,ставить три точки и пробел,из за пробела перенесет на новую строку,делается регуляркой.

Спустя 1 час, 55 минут, 59 секунд (25.07.2012 - 11:26) megadom написал(а):

Цитата

Обрезать ,ставить три точки и пробел,из за пробела перенесет на новую строку,делается регуляркой.

нееее.. нашёл функцию в php

$strpr = wordwrap($strpr, 100, " ",1);

так и победил ;)

Быстрый ответ:

Здесь расположена полная версия этой страницы.