| |
|
|
| | Файл "update.php"
$id_forum = intval($_GET['id_forum']);
$author = $_COOKIE['current_author'];
$pass = $_COOKIE['wrdp'];
if(empty($author) || empty($pass))
{
// Авторизация не осуществлена - отправляем в
// форму авторизации
header("Location: enter.php");
exit();
}
// Проверяем совпадает ли введённый пароль с паролем
// данного посетителя
$auth = get_user($author, $pass);
if(!$auth)
{
// Авторизация не осуществлена - отправляем в
// форму авторизации
header("Location: enter.php");
exit();
}
|
Файл "utils.php"
// Получить данные пользователя
function get_user($author, $pswrd)
{
// Объявляем переменные с именами таблиц глобальными
global $tbl_authors;
// Извлекаем данные
$query = "SELECT * FROM $tbl_authors
WHERE name = '$author' AND
passw = ".get_password($pswrd)." AND
statususer != 'wait'";
$ath = mysql_query($query);
if(!$ath)
{
throw new ExceptionMySQL(mysql_error(),
$query,
"Ошибка при обращении
к таблице авторов");
}
if(mysql_num_rows($ath)) return mysql_fetch_array($ath);
else return false;
}
|
Как видно ни перед вызовом get_user, ни в ней $author остаётся в чистом виде. Вас спасает лишь magic quotes.
Вот такие пироги, братцы. Я замечаю такие вещи не первый, не второй, не третий раз, ... с этим движком... Позор. | |
| |
|
|
| |
|
|
| |
для: Heavy
(25.04.2009 в 20:42)
| | | осталось лишь указать, на какой именно движок крошится батон. | |
| |
|
|
| |
|
|
| |
для: Trianon
(25.04.2009 в 20:51)
| | | Этого форума, последняя версия в "Загрузках". | |
| |
|
|
| |
|
|
| |
для: Heavy
(25.04.2009 в 21:34)
| | | Прикольно :)
Данные там изменить не выйдет, а вот получить хеши паролей и емэйлы, вроде как вполне себе реализуемо. | |
| |
|
|
| |
|
|
| |
для: Heavy
(25.04.2009 в 20:42)
| | | Спасибо за найденную ошибку. | |
| |
|
|
| |
|
|
| |
для: Heavy
(25.04.2009 в 20:42)
| | | >... Я замечаю такие вещи не первый, не второй, не третий раз, ... с этим движком...
Замечаете и не пишите.
Ждете когда какой-нибудь злодей типа BinLaden'a все похерит?)) | |
| |
|
|
| |
|
|
| |
для: Незнайка
(26.04.2009 в 17:52)
| | | Он у Вас уже что-то похерил? | |
| |
|
|
| |
|
|
| |
для: Trianon
(26.04.2009 в 18:06)
| | | Пока нет, но думаю будет пытаться
Злой он на меня | |
| |
|
|
| |
|
|
| |
для: Незнайка
(26.04.2009 в 18:18)
| | | Меня тогда тоже запишите.
Я, пожалуй, злее. | |
| |
|
|
| |
|
|
| |
для: Trianon
(26.04.2009 в 18:36)
| | | Хорошо, пока тренируйтесь. Я Вас приглашу, обязательно, как специалиста
>Я, пожалуй, злее
А на (во) сколько? | |
| |
|
|
| |
|
|
| |
для: Незнайка
(26.04.2009 в 18:47)
| | | Ну... я точно не знаю потенциала BinLaden'а
Раза в три - пять. | |
| |
|
|
| |
|
|
| |
для: Trianon
(26.04.2009 в 18:57)
| | | >Раза в три - пять.
Ну, это еще по-божески... | |
| |
|
|
