Форум программистов, компьютерный форум, киберфорум
Наши страницы
PHP для начинающих
Войти
Регистрация
Восстановить пароль
 
ex4ax
0 / 0 / 0
Регистрация: 29.01.2015
Сообщений: 1
1

Уязвимость в коде убрать

06.02.2015, 19:52. Просмотров 421. Ответов 2
Метки нет (Все метки)

Здравствуйте. Есть две SQL базы на одной висит форум на другой скрипт для выборки некоторых данных, форум и скрипт — в одной папке. Пользователи форума начали писать о том что в скрипте выборки есть уязвимость которая позволяет спарсить все данные с базы, хотя это и не критично, но все же хотелось это исправить.

Привожу сам скрипт.. подскажите пожалуйста — как исправить ?


PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<?php
$link = mysql_connect("localhost", "dbname", "pass");
 
mysql_select_db("zipcodes", $link);
 
if(isset($_POST["data"])){
    $mycomment = explode("\r\n",$_POST['data'] );
    $lines = count($mycomment);
    for ($i = 0; $i <= 24; $i++) {
        if ($mycomment[$i] == NULL) {
            $mycomment[$i] = 0;
        }
    $mycomment[$i] = substr($mycomment[$i], 0, 6);
    }
}
 
if(!isset($_POST["data"])){
    for ($i = 0; $i <= 24; $i++) {
        $mycomment[$i] = 0;
    }
}
 
$SQL = "SELECT zipcode, city, type, class FROM list WHERE zipcode IN ('$mycomment[0]', '$mycomment[1]', '$mycomment[2]', '$mycomment[3]', '$mycomment[4]', '$mycomment[5]', '$mycomment[6]', '$mycomment[7]', '$mycomment[8]', '$mycomment[9]', '$mycomment[10]', '$mycomment[11]', '$mycomment[12]', '$mycomment[13]', '$mycomment[14]', '$mycomment[15]', '$mycomment[16]', '$mycomment[17]', '$mycomment[18]', '$mycomment[19]', '$mycomment[20]', '$mycomment[21]', '$mycomment[22]', '$mycomment[23]', '$mycomment[23]', '$mycomment[24]')";
$result = mysql_query($SQL) or die('Cannot Execute:'. mysql_error());
$num_rows = mysql_num_rows($result);
echo $num_rows;
if($num_rows > 0) {
    echo "<table class=\"center_table\">";
    while($row = mysql_fetch_array($result))
    {
        echo "<tr><td>$row[zipcode]</td><td>$row[city]</td><td>$row[type]</td><td>$row[class]</td></tr>";
    }
    echo "</table>";
}
?>
Добавлено через 15 минут
Ой, т.е., толи - спарсить все данные с базы, то ли кукисы украсть оно позволяет.
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
06.02.2015, 19:52
Ответы с готовыми решениями:

Где уязвимость в представленном коде?
где тут находится уязвимость на ваш взгляд? if (isset($_REQUEST)) { ...

Не могу разобраться в коде и убрать лишнюю строку на сайте
на одной из страниц сайта есть фраза, выделенная красным на скриншоте: ...

Уязвимость сайта
Всем привет! Сайт сделан на старой самописной CMS. На формуме сайта стали...

Проверка сайта на уязвимость
Скажите пожалуйста как можно проверить свой сайта на уязвимость, например на...

Уязвимость веб сервиса
увидел в одной старой теме о том что на сайте были открыты рут пути...

2
BuPy7
Нет ТЗ - давай досвидания
742 / 372 / 64
Регистрация: 01.12.2011
Сообщений: 2,250
06.02.2015, 19:54 2
а где адрес самого форума? я б ща глянул, да сказал. а то чот код читать влом, хоть и 35 строк

Добавлено через 56 секунд
ну тут и так очевидно, что ковычки. эскейпить необходимо кароч, либо pdo юзать. лучше pdo.
0
PlumBoom
:)
134 / 134 / 31
Регистрация: 30.03.2013
Сообщений: 428
06.02.2015, 21:07 3
ex4ax, фильтруйте входные данные при GET- и POST-запросах.
0
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
06.02.2015, 21:07

Задачка. Есть ли уязвимость
&lt;?php header('Content-Type: text/html; charset=utf-8'); function _d(...

Уязвимость php файла
Здравствуйте Уважаемые! Есть файл myfile.php, и в начале этого файла стоит...

Не могу найти уязвимость на сайте
Выручайте, постоянно каким то образом в каталоги сайта попадают...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
3
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru