sql injection

[31337]

URL USUNIETY
16 kolumn, na tym kończy się moja wiedza z SQLa

tylko czemu nie działa
URL USUNIETY

[dexter]

Hehe - sql injection jak nic

URL USUNIETY

Tyle, że dostępu nie ma do bazy users

a moze by tak inserta do tabeli news - i jakis ciekawy artykul umiescic

[ble34]

powiadomiłem admina o bugach niewiem cos mi odbiło
może jescze zostane harcerzem

a błędy są w cały tym dziale

[dexter]

powiadomiłem admina o bugach niewiem cos mi odbiło
może jescze zostane harcerzem

a błędy są w cały tym dziale

Masz racje (niekoniecznie odnosnie zostania harcerzem) - miejmy nadzieję, że się poprawią - bo jak nie ...

[TQM]

Gratuluje Panowie...

Niestety musialem usunac podane przez Was URLe - kto widzial ten juz widzial ale nie chcemy raczej aby jakis duren zrobil z tego uzytek w niewlasciwym celu i namieszal

ble34 - powiadomic admina nie boli... pytanie czy bedzie zainteresowany tym ze znalazles taka ladna dziure w jego zabawce

[ble34]

masz racje nieboli ale zdrugiei strony dlaczego miałbym go informować
a co do jego reakcji
to niespodziewam się odpowiedzi
wogóle myśle że szybko tego nienaprawią chociaz wystarczy przepuuścic zmienna przez int() albo is_numeric() i po bólu
ale jakieś 2 miechy temu powiadomiłem adminów gazety.pl ze na forum jest dziura xss inic sie niezmieniło jak było tak jest
jak będzie tu to czas pokarze

[TQM]

Ano widzisz... moim zdaniem takich ludzi powinno sie wtedy zwalniac z pracy i to z solidnym kopem w dupe...

Jakby u mnie takie cos sie trafilo (bo kto wie - zawsze sie moze trafic choc niby nie powinno) to wszystko inne byloby zawieszone do czasu zbadania sprawy i znalezienia rozwiazania... jedyne co mogloby to zmienic to decyzja moich szefow ze na razie zostawic tak jak jest bo cos jest wazniejsze (a wiec decyzja biznesowa - oszacowanie ryzyka i wybranie korzystniejszej dla nas opcji... vide przyklad: jesli nie skoncze tego projektu do konca przyszlego tygodnia tracimy 4mln funtow... potencjalne straty z powodu wlamania do systemu to XXX tys. funtow uwzgledniajac downtime, czas konsultantow itd... wiec jasne co firma nakarze mi robic przez ten tydzien)... a zaraz pozniej caly dzial zostanie przekierowany aby rozwiazac problem i zrobic audit wszystkich systemow (zakladajac ze nie oddeleguja kogos w miedzyczasie aby zaczal wczesniej).

Cale szczescie u nas podzial jest jasny kto za co odpowiada... nie wierze by gazeta.pl i inne firmy ktore sa wieksze od nas (w ilosci ludzi na pewno) nie mogly tego samego zrobic... ale biznes to biznes.

Niemniej ignoranci powinni byc karani, zwalniani i w dupsko kopani! To nie sa juz czasy gdzie mozna sobie pozwolic na ignorowanie takich zgloszen...