взломщик
Pretorian,
верно такое может быть.
SpawN,
Не в обиду но почти во всех скриптах что я смотрел спартака твой и тд и тп все обрабатывают данные через всякие ещё старые суфастовские функции вырезая вручную кавычки и тд и тп.
Проверь чтобы у тебя все данные которые ты передаёшь в БД проходили через mysql_real_escape_string а целочисленные intval или int.
литеральные константы обрамляй апострофами.
А перед выводом инфы на экран пропускай через htmlspecialchars.
В принципе всё от xss и sql inj. Вырезать вручную своими самодельными функциями ничего не надо. (ну за исключением каких то моментов когда линку надо вывести на экран то тут уже да).
Даже если ты уверен что иньекцию невозможна ты всё равно должен обрабатывать уже непосредственно в своём запросе данные с помощью mysql_real_escape_string.
Допустим ты логин чекаешь регуляркой preg_match("/^[a-zA-Z0-9\_]+$/", $username
но при этом уже в самом запросе обрабатывай его ещё раз через mysql_real_escape_string
SET `username`='". mysql_real_escape_string($username) ."'
SpawN,
скинь мне на почту файлы свои загрузки: аватаров и что ещё загружаеться на сервак.
BelarusBUX.com,
А я и не говорил что надо самого кренделя по айпишнику вычислять, это удел школоты и отдела К, айпишник нужен чтобы отфильтровать куда этот крендель по сайту перемещается и вычислить тем самым потенциальные файлы с дырами, сузить поиск
нашли причину? Если можно в личку, что бы школота не училась ломать
нет. причину не нашли
Дело говорит) Теперь пол своего движка надо немного переделать)
Какой же ты жалкий. Это тебе можно причину, а школоте нельзя? Да если бы в своё время не алекс, который рассказал как можно sql inj реализовать на сеоедите, огромное количество школоты не пошлобы ломать буксы и находить дыры в других(!!!) местах.
Но повторюсь. Есть отличный вариант, через который можно залить шелл. 100 баксов цена
Misha,
А ты возьми и выложи статьёй)
Человек на этом деньги зарабатывает.
Хорошо сказал...