|
|
| Тема |
 Защо го караш да пише глупости ? [re: daxen] |
|
| Автор |
ro6avia (усер френдли) |
|
| Публикувано | 25.01.07 10:36 |
|
|
|
$usr=$HTTP_SESSION_VARS['valid_user'] - безсмислено присвояване на променлива. използване на деприкейтед масив
$query = " select rights from user where username='$usr' and passwd='$password' "; - 2 ес кю ел инжекшъна
$result = mysql_query("select rights from user where username='".addslashes($_SESSION['valid_user'])."' and ......");
root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy
| |
| |
| 
|
|
