LoL, через MySQL иньекцию можно получить не только админку а что угодно практически если нет защиты. Пример в э-майл для уязвимого сервера - [email protected]', pAdmin = '6', pDostup = '1Сообщение от Bublik_Public
Тебе лишь нужно отгадать имена переменных с бд, а если паблик мод узнаешь, то там дело пары минут скачать дистрибутив и узнать названия. А так же нужную информацию для взлома чего либо(то же кол-во админок чтобы узнать уровень гл. администратора и так далее).
Последний раз редактировалось IceShock; 20.12.2014 в 00:24.
задействовать ограничение на ввод символов. ( оптимальный вариант. )
Ну дак и на файлах такое можно, не?
Да и, для кого BlueG изобрел mysql_format?
Мне лично удобнее фильтровать строку на запретные символы через mysql_real_escape_string. Хотя и mysq_format тоже вариант, а это ограничение не гарантирует полной защиты т.к длинна названия переменных может быть везде разной, и ввод э-майла аналогично, как и само кол-во взлома переменных.
- - - Добавлено - - -
В паблик модах многим пофиг на использование его или mysql_real_escape_string. А по поводу файлов то нет, на них нет иньекций, в ней же символы для SQL запроса. Взлом через что-то другое, явно внутренняя дыра, либо команда хорошо замаскированая, или что-то в диалог забабахали, ищи все ассоции с переменной админки, в том числе и по инклудам, наверняка на что-то наткнешся))
Зачем изобретать велосипед если его уже изобрели?
- - - Добавлено - - -
Дай мне любой мод на файлах, где не стоит сортировка символов в диалоге, и я докажу что такое возможно.
Хз, не слышал о таком, чтоб на файлах подобно можно было иньекцию промутить. Там же функции работы с ними же на Pawn`e только а не в плагине.
я не могу понять о чём вы говорите но буду благодарен если вы мне поможите. я просто новечок вообще нечего не понимаю поэтому и обратился к вам за помощью если вы мне поможите можите мне свой скайп написать или мне свой...
Вам сюда
Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)
Ваши права
Ответить с цитированием
