Веб [CLOSED]AddModerTicket - форма для набора модераторов

Не кто из умных админов не будет брать модераторов без реальной проверки, т.е. можно будет судить по голосованию, слушать мнения администраторов/модераторов, проверять в скайпе и многое другое.
Я о том что с голосованием будет немножко легче выбирать.

 

Пишем в поле username (да и вообще в любое другое) что-то вроде ') DROP table dle_users;--
И ловим лулзы.

 

И что?Админ видит что кака в тексте и не принимает, если ты думаешь что запрос выполниться - ошибаешься

 

Ага, точно:
$username = "<script>alert(\'XSS\');</script>";

PHP:

mysql_query("INSERT INTO `moder` (date, login, name, age, skype, time, freetime, server, land, why, who1, soc1) VALUES (CURRENT_TIMESTAMP, '$login', '$username', '$age', '$skype', '$time', '$freetime', '$server', '$land', '$why', '$who1', '$soc1')") or die (mysql_error()); 


 

@AlexMerser, mysql_real_escape_string

 

Насколько я знаю, в бд заносится только текст

сейчас переписываю код, будет так $db->query ("INSERT INTO...
Вроде как mysqli лучше mysql

 

и что это меняет?
$username = mysql_real_escape_string($_POST['username']);
$age = mysql_real_escape_string($_POST['age']);
....

 

XSS будет активна при выводе в админке.

 

аа, спасибо, немного не то понял[DOUBLEPOST=1372858713,1372858450][/DOUBLEPOST]

Пока что про админку не думал[DOUBLEPOST=1372859539][/DOUBLEPOST]Есть вопрос: делать ли install.php, который сам создаст стат страницу в ДЛЕ и таблицы?

 

А ты думаешь, что не выполнится? Ошибаешься.

 

Если не будет выведено на страницу, пока что редактирование через phpmyadmin

 

Оно будет выведено на страницу. Но перед этим, выполнится при добавлении в бд.

 

Оно ведь заносит только текст, почему ему выполнять?Это в админпанели, которой еще нет, возможно выполнится

 

Агрх... Вот давайте я вам покажу, что произойдет:
У вас есть запрос, к примеру, INSERT into `table` (name,age,username) VALUES ('$name', '$age', '$username')
Какой запрос выполнится, если ввести в username: '); DROP table dle_users;--
INSERT into `table` (name,age,username) VALUES ('$name', '$age', ''); DROP table dle_users;--)

 

Ага, теперь понял, а куда ведь остальные переменные денутся?Выведет ошибку вроде.И защита от этого mysql_real_escape_string ?

 

Ничего не мешает их вручную добить вот так: ', '', '', ''); DROP TABLE tabl;--
Защита - да. Вместе с htmlspecialchars

 

Условие любое создай на проверку ник ли ето и не парь себе мозг.

 

Вписать в любое другое поле?..

 

Намного легче сделать как я сказал, real_escape, с ним не работает баг

 

Для mysqli: mysqli_real_escape_string