Честно говоря,об самом использовании дыры я не слышал,ну плюс сам ещё не владею SQL-инъекциями…Однако,там делается именно с помощью инъекции…Честно говоря,об самом использовании дыры я не слышал,ну плюс сам ещё не владею SQL-инъекциями…Однако,там делается именно с помощью инъекции…
Итак.Вся гадость заключается в файле messadd.php — там функцией отсекаются только символы,которыми ограничиваются HTML-теги,а кавычка и прочее остаётся…Открываем messadd.php и ищем:
$stroka = str_replace(">",">",$stroka);
$stroka = str_replace("<","<",$stroka);
$stroka = str_replace("<","<",$stroka);
Добавим следом:
$stroka = str_replace("'",""",$stroka);
$stroka = str_replace('"',""",$stroka);
$stroka = str_replace("$","dollar)",$stroka);
вот вам и всё решение.и никакие вам UNION-ы и \’ с \» не страшны))
Автор публикации
Комментарии: 0Публикации: 166Регистрация: 19-02-2011
Отправить комментарий
Вы должны быть зарегистрированы чтобы оставить комментарий.
Вы должны быть зарегистрированы чтобы оставить комментарий.