Есть ли уязвимость в коде?

@wolf · Регистрация: 17.09.2012

Студворк — интернет-сервис помощи студентам

PHP
1
2
3
4
5
$x=$_REQUEST['x'];
  $pl='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890';
  $pass=''; for ($i=0; $i<10; $i++) $pass.=$pl[rand(0,strlen($pl)-1)];
  $x['login']=strtolower($x['login']);
  $error='';

$pl='abcdefghijklmnopqrstuvwxyzABCDEFGHI JKLMNOPQRSTUVWXYZ1234567890';
это уязвимость какая то или что?

@SV · 26.08.2014, 19:43

Список допустимых символов
пароль он рандомный генерит

@wolf · 26.08.2014, 19:48 **[ТС]**

спасибо большое за помощь

Добавлено через 38 секунд
ещё хотел узнать, есть ли тут уязвимость?

PHP
1
2
3
4
5
6
7
8
9
10
if (isset($_GET['update']) or isset($_GET['insert'])) {
  $_POST['h']['descr']=str_to_web($_POST['h']['descr']);
  $_POST['h']['po']=str_to_web($_POST['h']['po']);
  if (isset($_GET['insert']))
    mysql_query("INSERT INTO hosts set ".make_sql_set($_POST['h'])) or die(mysql_error());
  else
    mysql_query("UPDATE hosts SET ".make_sql_set($_POST['h'])." WHERE id=".mysql_real_escape_string($_GET[update])."") or die(mysql_error());
  echo skin_redir_msg(self_url(),'Данные сервера сохранены');
  return;
  }

@SV · 26.08.2014, 22:22

Понятия не имею, мало ли что там make_sql_set делает

@wolf · 27.08.2014, 15:58 **[ТС]**

вот что делает

PHP
1
2
3
4
5
6
7
function make_sql_set($a=array(),$convert=false) {
  foreach ($a as $p=>$v) {
    if (strstr($v,"'") and !strstr($v,"\\'")) $v=str_replace("'","\\'",$v);
    $a[$p]="`$p`='".$v."'";
    }
  return(implode(',',$a));
  }

@SV · 27.08.2014, 16:56

Да, экранировать тоько одиночные кавычки, да еще таким способом - это уязвимость

@wolf · 29.08.2014, 11:22 **[ТС]**

покажите хотя бы как 1 за экранировать?

@Tatikoma · 29.08.2014, 13:36

wolf,

PHP
1
$v = mysql_real_escape_string($v);

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@SV 55 / 55 / 25 Регистрация: 03.08.2014 Сообщений: 258
	26.08.2014, 19:43
	Список допустимых символов пароль он рандомный генерит 1

@SV 55 / 55 / 25 Регистрация: 03.08.2014 Сообщений: 258
	26.08.2014, 22:22
	Понятия не имею, мало ли что там make_sql_set делает 0

@SV 55 / 55 / 25 Регистрация: 03.08.2014 Сообщений: 258
	27.08.2014, 16:56
	Да, экранировать тоько одиночные кавычки, да еще таким способом - это уязвимость 0

@wolf 2 / 2 / 10 Регистрация: 17.09.2012 Сообщений: 860
	29.08.2014, 11:22 [ТС]
	покажите хотя бы как 1 за экранировать? 0