sql injection

[ble34]

może ktoś nato zerknąć
co to sa te losowe liczby po jedynkach które się wysiwtlaja na stronie
dziwne troche
czas pobrania informacji w mikro sekundach czy co

heh fajne ajak zrobie tak
URL USUNIETY
to wyświtla sie inf
wcale się niezdiwie jak to bedzie nawa tabeli albo bardziei kolumny
bardzo pozytywne zjawisko
nie to jednak nienazwa kolumny
ale mimo wszytko dość dziwne
nazwa tabeli to news a może bardziei baza danych
krok po kroczku może sie uda






kroczek po kroczku wiedziałem że to ogarne kiedyś brakuje tylko hasła
URL USUNIETY

[31337]

URL USUNIETY
16 kolumn, na tym kończy się moja wiedza z SQLa

tylko czemu nie działa
URL USUNIETY

[dexter]

Hehe - sql injection jak nic

URL USUNIETY

Tyle, że dostępu nie ma do bazy users

a moze by tak inserta do tabeli news - i jakis ciekawy artykul umiescic

[ble34]

powiadomiłem admina o bugach niewiem cos mi odbiło
może jescze zostane harcerzem

a błędy są w cały tym dziale

[dexter]

powiadomiłem admina o bugach niewiem cos mi odbiło
może jescze zostane harcerzem

a błędy są w cały tym dziale

Masz racje (niekoniecznie odnosnie zostania harcerzem) - miejmy nadzieję, że się poprawią - bo jak nie ...

[TQM]

Gratuluje Panowie...

Niestety musialem usunac podane przez Was URLe - kto widzial ten juz widzial ale nie chcemy raczej aby jakis duren zrobil z tego uzytek w niewlasciwym celu i namieszal

ble34 - powiadomic admina nie boli... pytanie czy bedzie zainteresowany tym ze znalazles taka ladna dziure w jego zabawce

[ble34]

masz racje nieboli ale zdrugiei strony dlaczego miałbym go informować
a co do jego reakcji
to niespodziewam się odpowiedzi
wogóle myśle że szybko tego nienaprawią chociaz wystarczy przepuuścic zmienna przez int() albo is_numeric() i po bólu
ale jakieś 2 miechy temu powiadomiłem adminów gazety.pl ze na forum jest dziura xss inic sie niezmieniło jak było tak jest
jak będzie tu to czas pokarze

[TQM]

Ano widzisz... moim zdaniem takich ludzi powinno sie wtedy zwalniac z pracy i to z solidnym kopem w dupe...

Jakby u mnie takie cos sie trafilo (bo kto wie - zawsze sie moze trafic choc niby nie powinno) to wszystko inne byloby zawieszone do czasu zbadania sprawy i znalezienia rozwiazania... jedyne co mogloby to zmienic to decyzja moich szefow ze na razie zostawic tak jak jest bo cos jest wazniejsze (a wiec decyzja biznesowa - oszacowanie ryzyka i wybranie korzystniejszej dla nas opcji... vide przyklad: jesli nie skoncze tego projektu do konca przyszlego tygodnia tracimy 4mln funtow... potencjalne straty z powodu wlamania do systemu to XXX tys. funtow uwzgledniajac downtime, czas konsultantow itd... wiec jasne co firma nakarze mi robic przez ten tydzien)... a zaraz pozniej caly dzial zostanie przekierowany aby rozwiazac problem i zrobic audit wszystkich systemow (zakladajac ze nie oddeleguja kogos w miedzyczasie aby zaczal wczesniej).

Cale szczescie u nas podzial jest jasny kto za co odpowiada... nie wierze by gazeta.pl i inne firmy ktore sa wieksze od nas (w ilosci ludzi na pewno) nie mogly tego samego zrobic... ale biznes to biznes.

Niemniej ignoranci powinni byc karani, zwalniani i w dupsko kopani! To nie sa juz czasy gdzie mozna sobie pozwolic na ignorowanie takich zgloszen...