woody Skrivet 6 Juli 2010 Rapport Dela Skrivet 6 Juli 2010 Man kan ta bort andras meddelanden... http://wasd.nu/inbox.php?deletepm=1 Citera Länk till kommentar Dela på andra sajter More sharing options...
WASD Skrivet 6 Juli 2010 Författare Rapport Dela Skrivet 6 Juli 2010 (redigerat) Nej det kan man inte, den bara säger så. Jag har id 1 i min inbox fortfarande. Den tar bort "WHERE id='$_GET[deletepm]' AND to=*ditt användarnamn*" och visar sedan "PM borttaget" även fast ens användarnamn inte matchar vem PMet är till så att PMet inte försvinner. edit: nu har jag ändrat och det ska stå "PMet är inte till dig!". Redigerat 6 Juli 2010 av WASD Citera Länk till kommentar Dela på andra sajter More sharing options...
woody Skrivet 8 Juli 2010 Rapport Dela Skrivet 8 Juli 2010 Det är väldigt viktigt att säkra $_GET för att förhindra SQL Injections. Här är en bild som visar vad som kan hända om man är lika slarvig som du. http://woodo.zxq.net/wasd_databas.JPG Citera Länk till kommentar Dela på andra sajter More sharing options...
WASD Skrivet 8 Juli 2010 Författare Rapport Dela Skrivet 8 Juli 2010 403 forbidden säger den bilden. Jag har gjort mysql_real_escape_string på alla $_GET men det är fullt möjligt att jag glömt någon. Citera Länk till kommentar Dela på andra sajter More sharing options...
WASD Skrivet 8 Juli 2010 Författare Rapport Dela Skrivet 8 Juli 2010 (redigerat) Jahapp, hur gör jag för att förhindra det där? edit: verkar som jag glömt real_escape_string på den, prova nu. Redigerat 8 Juli 2010 av WASD Citera Länk till kommentar Dela på andra sajter More sharing options...
woody Skrivet 8 Juli 2010 Rapport Dela Skrivet 8 Juli 2010 Det fungerar fortfarande... Citera Länk till kommentar Dela på andra sajter More sharing options...
WASD Skrivet 8 Juli 2010 Författare Rapport Dela Skrivet 8 Juli 2010 (redigerat) Vad ska jag göra då? Jag har den här med: $_GET[id] = mysql_real_escape_string($_GET[id]); edit: jag la den på ett annat ställe nu, prova igen. note: Jag var beredd på att min säkerhet skulle vara dålig så jag tog ett randomlösenord :D Redigerat 8 Juli 2010 av WASD Citera Länk till kommentar Dela på andra sajter More sharing options...
woody Skrivet 8 Juli 2010 Rapport Dela Skrivet 8 Juli 2010 (redigerat) Använd aldrig md5 när du krypterar lösenord. sha1 är mycket säkrare. Redigerat 8 Juli 2010 av Woodo Citera Länk till kommentar Dela på andra sajter More sharing options...
WASD Skrivet 8 Juli 2010 Författare Rapport Dela Skrivet 8 Juli 2010 (redigerat) Jag har ingen salt heller. Lyckas du fortfarande ta dig in i databasen med det där fuskprogrammet via profile.php? Varför döljer du namnet förresten? En simpel googling ger mig att programmet heter *****. Redigerat 8 Juli 2010 av WASD Citera Länk till kommentar Dela på andra sajter More sharing options...
woody Skrivet 8 Juli 2010 Rapport Dela Skrivet 8 Juli 2010 Ja Jag döljer namnet så att ingen annan laddar ner det och raderar hela din databas... Citera Länk till kommentar Dela på andra sajter More sharing options...
WASD Skrivet 8 Juli 2010 Författare Rapport Dela Skrivet 8 Juli 2010 (redigerat) Smart :lol: editade mitt inlägg. Vad ska jag göra för att förhindra att du kommer in med det programmet då? Prova nu, borde inte funka. Redigerat 8 Juli 2010 av WASD Citera Länk till kommentar Dela på andra sajter More sharing options...
woody Skrivet 8 Juli 2010 Rapport Dela Skrivet 8 Juli 2010 Nu fungerar det inte. Citera Länk till kommentar Dela på andra sajter More sharing options...
Rekommendera inlägg
Gå med i konversationen
Du kan skriva nu och registrera dig senare. Om du har ett konto, logga in nu för att posta med ditt konto.