woody Skrivet 6 Juli 2010 Rapport Skrivet 6 Juli 2010 Man kan ta bort andras meddelanden... http://wasd.nu/inbox.php?deletepm=1 Citera
WASD Skrivet 6 Juli 2010 Författare Rapport Skrivet 6 Juli 2010 (redigerat) Nej det kan man inte, den bara säger så. Jag har id 1 i min inbox fortfarande. Den tar bort "WHERE id='$_GET[deletepm]' AND to=*ditt användarnamn*" och visar sedan "PM borttaget" även fast ens användarnamn inte matchar vem PMet är till så att PMet inte försvinner. edit: nu har jag ändrat och det ska stå "PMet är inte till dig!". Redigerat 6 Juli 2010 av WASD Citera
woody Skrivet 8 Juli 2010 Rapport Skrivet 8 Juli 2010 Det är väldigt viktigt att säkra $_GET för att förhindra SQL Injections. Här är en bild som visar vad som kan hända om man är lika slarvig som du. http://woodo.zxq.net/wasd_databas.JPG Citera
WASD Skrivet 8 Juli 2010 Författare Rapport Skrivet 8 Juli 2010 403 forbidden säger den bilden. Jag har gjort mysql_real_escape_string på alla $_GET men det är fullt möjligt att jag glömt någon. Citera
WASD Skrivet 8 Juli 2010 Författare Rapport Skrivet 8 Juli 2010 (redigerat) Jahapp, hur gör jag för att förhindra det där? edit: verkar som jag glömt real_escape_string på den, prova nu. Redigerat 8 Juli 2010 av WASD Citera
WASD Skrivet 8 Juli 2010 Författare Rapport Skrivet 8 Juli 2010 (redigerat) Vad ska jag göra då? Jag har den här med: $_GET[id] = mysql_real_escape_string($_GET[id]); edit: jag la den på ett annat ställe nu, prova igen. note: Jag var beredd på att min säkerhet skulle vara dålig så jag tog ett randomlösenord :D Redigerat 8 Juli 2010 av WASD Citera
woody Skrivet 8 Juli 2010 Rapport Skrivet 8 Juli 2010 (redigerat) Använd aldrig md5 när du krypterar lösenord. sha1 är mycket säkrare. Redigerat 8 Juli 2010 av Woodo Citera
WASD Skrivet 8 Juli 2010 Författare Rapport Skrivet 8 Juli 2010 (redigerat) Jag har ingen salt heller. Lyckas du fortfarande ta dig in i databasen med det där fuskprogrammet via profile.php? Varför döljer du namnet förresten? En simpel googling ger mig att programmet heter *****. Redigerat 8 Juli 2010 av WASD Citera
woody Skrivet 8 Juli 2010 Rapport Skrivet 8 Juli 2010 Ja Jag döljer namnet så att ingen annan laddar ner det och raderar hela din databas... Citera
WASD Skrivet 8 Juli 2010 Författare Rapport Skrivet 8 Juli 2010 (redigerat) Smart :lol: editade mitt inlägg. Vad ska jag göra för att förhindra att du kommer in med det programmet då? Prova nu, borde inte funka. Redigerat 8 Juli 2010 av WASD Citera
Rekommendera inlägg
Gå med i konversationen
Du kan skriva nu och registrera dig senare. Om du har ett konto, logga in nu för att posta med ditt konto.