PHP/MySQL | Что не так в запросе
Lis75 
Toruz Magistr (08.02.2022 в 16:28)
Взломай бумас!
Взломай бумас!
Подроски как раз об этом и говорят большиство. У меня к Бимасу претензий нет и админу. Дома были притензии, и взломал свой ПК.
Toruz (08.02.2022 в 19:03)
Какая суперглобальная $_POST. Там переменная $post[id]. У тебя глаза замылились.
Какая суперглобальная $_POST. Там переменная $post[id]. У тебя глаза замылились.
Сынок это безопасно. Можешь не сомневаться, за моими плечами десятки рутованных систем.
БЕЛАЗ,
________
посл. ред. 09.02.2022 в 00:49; всего 1 раз(а); by TuT
<?
$top_q = mysql_query("SELECT SUM(`boss_uron`), `id_user` FROM `bassement_log` WHERE `id_boss` = '".$post['id']."' ORDER BY SUM(`boss_uron`) DESC LIMIT 10");
while($w= mysql_fetch_assoc($top_q)){
echo '<div class="blockm"></div>';
echo '<div class="block-main"><img src="/icon/icons/user.png">'.$w['id_user'].' <img src="/icon/user/damage.png">'.$w['boss_uron'].'</div>';
}
________
посл. ред. 09.02.2022 в 00:49; всего 1 раз(а); by TuT
Так $post[id], оно ключ будет константой считать, нет?).
Uran (08.02.2022 в 19:28)
Сынок это безопасно. Можешь не сомневаться, за моими плечами десятки рутованных систем.
Сынок это безопасно. Можешь не сомневаться, за моими плечами десятки рутованных систем.
Я тебе не сынок. Понял? Дырами SQL и XSS в голове у тебя. Это не безопастно. Я уже привел примеры коммерческих проектов, которые были взломаны и нынешние проекты.
Пора уже читать новости и обдумывать это головой. Нашли уязвимость хакеры, сразу на корню своем проекте делаем. Меньше проблем и не будете ходить с поломаными скриптами.
Four wonloa565 (08.02.2022 в 12:49)
а как фильтр сделать?
а как фильтр сделать?
abs(intval()) сойдёт
для числовых данных
________
посл. ред. 09.02.2022 в 08:53; всего 1 раз(а); by Four
Toruz, я ни в коем случае не оправдываю код. Он ужасен и не использует плейсхолдеры. Но ты не прав. Если для строки id стоит метод int() в базе данных, то даже при успешном внедрении вредоносного кода он все равно вернет 0. Даже не надо быть капитаном очевидность, чтобы это понимать
________
посл. ред. 10.02.2022 в 11:09; всего 1 раз(а); by Java_Script
________
посл. ред. 10.02.2022 в 11:09; всего 1 раз(а); by Java_Script
Java_Script (10.02.2022 в 11:09)
Toruz, я ни в коем случае не оправдываю код. Он ужасен и не использует плейсхолдеры. Но ты не прав. Если для строки id стоит метод int() в базе данных, то даже при успешном внедрении вредоносного кода он все равно вернет 0. Даже не надо быть капитаном очевидность, чтобы это понимать
Toruz, я ни в коем случае не оправдываю код. Он ужасен и не использует плейсхолдеры. Но ты не прав. Если для строки id стоит метод int() в базе данных, то даже при успешном внедрении вредоносного кода он все равно вернет 0. Даже не надо быть капитаном очевидность, чтобы это понимать
Ты дурак? Скажи пожалуйста. Люди уже научились взламывать через ID. Технологии не стоят на месте.