|
| |
|
|
| |
для: BinLaden
(06.01.2009 в 23:19)
| | | Может и нет, но создатели этого сайта утверждают что их код надежный.. | |
| |
|
|
| |
|
|
| |
для: newcold
(06.01.2009 в 23:13)
| | | > При авторизации использую пример из книги PHP практика создания web сайтов, так что там надежно
Ой ли. Вполне может быть и нет. | |
| |
|
|
| |
|
|
| |
для: newcold
(06.01.2009 в 22:58)
| | | Пользователь заходит на сайт, авторизовывается и переходит на
www.domen.ru/user/user.php?=1
больше ничего не заполняет.
При авторизации использую пример из книги PHP практика создания web сайтов, так что там надежно.. | |
| |
|
|
| |
|
|
| |
для: newcold
(06.01.2009 в 22:45)
| | | >A XXS инъекция насколько я знаю проводится через окно ввода данных
Не только. Вот попробуйте вместо имени юзера ввести вот это:
<iframe width='400' height='400' src='http://www.ruporno.org/'></iframe>
|
Если всё везде правильно обработано, будет такое имя. А если нет.. | |
| |
|
|
| |
|
|
| |
для: BinLaden
(06.01.2009 в 22:53)
| | | Спасибо, я знаю. Просто наспех писал.. | |
| |
|
|
| |
|
|
| |
для: newcold
(06.01.2009 в 21:36)
| | | Храните идентификатор пользователя (id). По нему и стоит выбирать что-то.
А прежде изучите как оформляются строки в SQL-запросах. Всё спец. символы экранируются и после строка берётся в кавычки/апострофы. | |
| |
|
|
| |
|
|
| |
для: newcold
(06.01.2009 в 22:45)
| | | Спасибо, об этом тоже позаботился. | |
| |
|
|
| |
|
|
| |
для: newcold
(06.01.2009 в 22:42)
| | | A XXS инъекция насколько я знаю проводится через окно ввода данных (если я не ошибаюсь), А в данном случае авторизация проходит с вводом пароля, да и при авторизации там стоит защита.. | |
| |
|
|
| |
|
|
| |
для: newcold
(06.01.2009 в 22:42)
| | | Не забывайте про магические кавычки. Есть такая кака, не со зла конечно сделана, но портит изрядно крови. Тут на форуме много про это есть. | |
| |
|
|
| |
|
|
| |
для: Николай2357
(06.01.2009 в 22:23)
| | | Проверяю так:
$_SESSION['name'] = mysql_escape_string($_SESSION['name']);
|
| |
| |
|
|
|
