Хостинг серверов Minecraft playvds.com
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Вы находитесь в русском сообществе Bukkit. Мы - администраторы серверов Minecraft, разрабатываем собственные плагины и переводим на русский язык плагины наших собратьев из других стран.
    Скрыть объявление
  3. Данный раздел создан исключительно для релизов! Вопросы по лаунчеру или обвязке задавайте ТОЛЬКО в соответсвующей теме автора. Любые другие темы будут удалены, а авторы понесут наказание.

Веб [CLOSED]AddModerTicket - форма для набора модераторов

Тема в разделе "Веб-обвязки и лаунчеры", создана пользователем AlexMerser, 2 июл 2013.

Статус темы:
Закрыта.
  1. Killing

    Killing Старожил Пользователь

    Баллы:
    103
    Имя в Minecraft:
    Killing
    Не кто из умных админов не будет брать модераторов без реальной проверки, т.е. можно будет судить по голосованию, слушать мнения администраторов/модераторов, проверять в скайпе и многое другое. :)
    Я о том что с голосованием будет немножко легче выбирать.
     
  2. Хостинг MineCraft
    <
  3. Nehalem

    Nehalem Участник

    Баллы:
    43
    Пишем в поле username (да и вообще в любое другое) что-то вроде ') DROP table dle_users;--
    И ловим лулзы.
     
  4. Автор темы
    AlexMerser

    AlexMerser Старожил Пользователь

    Баллы:
    173
    И что?Админ видит что кака в тексте и не принимает, если ты думаешь что запрос выполниться - ошибаешься ;)
     
    Ia_grib, oleg57zls, Nasdomlan и ещё 1-му нравится это.
  5. Toster_tpl

    Toster_tpl Старожил Пользователь

    Баллы:
    153
    [​IMG]

    Ага, точно:
    $username = "<script>alert(\'XSS\');</script>";
    PHP:
    mysql_query("INSERT INTO `moder` (date, login, name, age, skype, time, freetime, server, land, why, who1, soc1) VALUES (CURRENT_TIMESTAMP, '$login', '$username', '$age', '$skype', '$time', '$freetime', '$server', '$land', '$why', '$who1', '$soc1')") or die (mysql_error()); 
     
    NoNaMeHaCkEr2002 нравится это.
  6. XeroXP

    XeroXP Старожил

    Баллы:
    153
    Skype:
    slava.pestr
    Имя в Minecraft:
    XeroXP
    @AlexMerser, mysql_real_escape_string
     
  7. Автор темы
    AlexMerser

    AlexMerser Старожил Пользователь

    Баллы:
    173
    Насколько я знаю, в бд заносится только текст


    сейчас переписываю код, будет так $db->query ("INSERT INTO...
    Вроде как mysqli лучше mysql
     
    oleg57zls, Nasdomlan и Antivirus1221 нравится это.
  8. XeroXP

    XeroXP Старожил

    Баллы:
    153
    Skype:
    slava.pestr
    Имя в Minecraft:
    XeroXP
    и что это меняет?
    $username = mysql_real_escape_string($_POST['username']);
    $age = mysql_real_escape_string($_POST['age']);
    ....
     
  9. ImAlive

    ImAlive Старожил Пользователь

    Баллы:
    123
    Skype:
    makcvsdog
    XSS будет активна при выводе в админке.
     
  10. Автор темы
    AlexMerser

    AlexMerser Старожил Пользователь

    Баллы:
    173
    аа, спасибо, немного не то понял[DOUBLEPOST=1372858713,1372858450][/DOUBLEPOST]
    Пока что про админку не думал[DOUBLEPOST=1372859539][/DOUBLEPOST]Есть вопрос: делать ли install.php, который сам создаст стат страницу в ДЛЕ и таблицы?
     
    Ia_grib, DavidShabaev, Stalkerdeni971 и 2 другим нравится это.
  11. Nehalem

    Nehalem Участник

    Баллы:
    43
    А ты думаешь, что не выполнится? Ошибаешься.
     
    Ia_grib нравится это.
  12. Автор темы
    AlexMerser

    AlexMerser Старожил Пользователь

    Баллы:
    173
    Если не будет выведено на страницу, пока что редактирование через phpmyadmin
     
  13. Nehalem

    Nehalem Участник

    Баллы:
    43
    Оно будет выведено на страницу. Но перед этим, выполнится при добавлении в бд.
     
  14. Автор темы
    AlexMerser

    AlexMerser Старожил Пользователь

    Баллы:
    173
    Оно ведь заносит только текст, почему ему выполнять?Это в админпанели, которой еще нет, возможно выполнится
     
    Ia_grib и oleg57zls нравится это.
  15. Nehalem

    Nehalem Участник

    Баллы:
    43
    Агрх... Вот давайте я вам покажу, что произойдет:
    У вас есть запрос, к примеру, INSERT into `table` (name,age,username) VALUES ('$name', '$age', '$username')
    Какой запрос выполнится, если ввести в username: '); DROP table dle_users;--
    INSERT into `table` (name,age,username) VALUES ('$name', '$age', ''); DROP table dle_users;--)
     
  16. Автор темы
    AlexMerser

    AlexMerser Старожил Пользователь

    Баллы:
    173
    Ага, теперь понял, а куда ведь остальные переменные денутся?Выведет ошибку вроде.И защита от этого mysql_real_escape_string ?
     
    oleg57zls нравится это.
  17. Nehalem

    Nehalem Участник

    Баллы:
    43
    Ничего не мешает их вручную добить вот так: ', '', '', ''); DROP TABLE tabl;--
    Защита - да. Вместе с htmlspecialchars
     
  18. ARGENT

    ARGENT Старожил Пользователь

    Баллы:
    103
    Skype:
    den.argent
    Имя в Minecraft:
    ARGENT
    Условие любое создай на проверку ник ли ето и не парь себе мозг.
     
    Help нравится это.
  19. Nehalem

    Nehalem Участник

    Баллы:
    43
    Вписать в любое другое поле?..
     
  20. Автор темы
    AlexMerser

    AlexMerser Старожил Пользователь

    Баллы:
    173
    Намного легче сделать как я сказал, real_escape, с ним не работает баг
     
    oleg57zls нравится это.
  21. Nehalem

    Nehalem Участник

    Баллы:
    43
    Для mysqli: mysqli_real_escape_string
     
Статус темы:
Закрыта.

Поделиться этой страницей