| |
|
|
| | Я вот решил покопаться в вашем форуме и по моему если в кукисы вместо имени пользователя подставить SQL - запрос после одинарной кавычки то на главной странице вместо имени пользователя (в приветствии) будет выведен результат запроса.
P.S
Я точно не могу сказать что баг работоспособный, но все-таки, просто имейте ввиду, что дынные из кукисов тоже надо проверять, ведь вместо того же SQL запроса можно вставить код следующего содрежания, который даст нам кукисы юзера, открывшего страницу, а ведь вместо просмотра печенья можно отправить по мылу :)
<script language=JavaScript>alert(document.cookie)</script>
|
| |
| |
|
|
| |
|
|
| |
для: ZC
(10.08.2005 в 15:23)
| | | Хмм... Насчет кукисов я переборщил :) | |
| |
|
|
| |
|
|
| |
для: ZC
(10.08.2005 в 15:23)
| | | Хм... вроде стоит проверка в topforum.php... | |
| |
|
|
| |
|
|
| |
для: cheops
(10.08.2005 в 18:10)
| | | Sorry :)
У меня просто старая версия форума.
Я на ней вт и проверял. | |
| |
|
|
