Очередной безобидный,но очень неприятный баг,позволяющий читать почту других пользователей.Как им воспользоваться:…Очередной безобидный,но очень неприятный баг,позволяющий читать почту других пользователей.Как им воспользоваться:
Логинимся — нам надо чтоб у нас было хотя б одно входящее сообщение — можно регнуться два раза и самому себе отправить сообщение.Идём на страницу со списком входящих сообщений.
Открываем исходный код страницы и ищем там код:
<form method="post" action="mail.php?p=inbox">
<input type="hidden" value="12" name="id">
<input type="hidden" value="view" name="action">
<input type="submit" value="Просмотреть">
</form>
Где 12 — это ID Вашего сообщения.Меняем его на произвольных из предыдущих и читаем сообщения.
Как закрыть??
Открываем файл Inbox.php и ищем стрoку:
$res=mysql_query("select * from tb_mail where id='$id'");
$res=mysql_fetch_array($res);
и ниже вставляем:
$recipient=$res["recipient"];
$nameus=$_SESSION["username"];
if($recipient!=$nameus)
{
echo "<b><font color=red>Это не ваше письмо!</font></b>";
}else{
и после строки:
</table></div>
<?
добавить символ }
комментим
Автор публикации
Комментарии: 0Публикации: 166Регистрация: 19-02-2011
Отправить комментарий
Вы должны быть зарегистрированы чтобы оставить комментарий.
Вы должны быть зарегистрированы чтобы оставить комментарий.