Слово ПРИМЕРНО хорошо видно?

В запросе фильтруется мессага


mysql_querll("INSERT INTO `kolhoz_mail` SET `id_user` = '$post[id]', `id_kont` = '$ku[id]', `msg` = '".my_esc($msg)."', `time` = '$time', `type` = 'to'";




Значит где-то должна быть примерно такая функция прописана



function my_esc($msg){
$msg = htmlspecialchars($msg);
$msg = mysql_escape_string($msg);
return $msg;
}

Вилы Выкидные, да я в курсе ( но вот так
$msg = htmlspecialchars($msg);
$msg = mysql_escape_string($msg);

крайне неграмотно
htmlspecialchars - мнемонизирует кавычки а mysql_escape_string экранирует спецсимволы, причем mysql_escape_string устаревшая функция и при UTFесть масса способов пробить инъекцию сквозь нее
и это все если не учитывать как будет выводиться в броузер этот текст

LordSaske, короче я совсем потерялся.

ImperiO, ты как пришел к тому, что в том участке кода дыра? ))

Сибирский, честно сказать,сам я там ничего не увидел. но бродят всякие вокруг игры,и так сказать,пугают)

взламывать сайты через почту, объявления, новости и т.п. - это высший пилотаж :D

ImperiO, типичная практика ходить и пугать админов )) Беспокоиться стоит когда тебе реально взлом показывают ) Ну если тебя не беспокоит то, что например в выводе новости будут видны слэши или еще какие спецсимволы то есть смысл просто тупо экранировать или мнемонизировать все суперглобалы в самом начале работы скрипта, тогда можно даже фильтры не ставить )))

Вилы Выкидные, да его может и не сломают но бардак наведут. Но обычно ломают через заранее заготовленный лаз для заливки шелла а не через SQL иньекцию )

Сибирский, да мне то пугаться особо и нечего:D даже пусть и снесут..поставить не проблема) но все же неохота бросать все и бежать к компу вдруг чего. лучше уж сразу убрать.

посчитал бы за честь навести бардак в одной из тысяч псевдоБТ :D