Очередная инъекция в DLE Forum

Описание: sql-инъекция
Зависимость: register_globals = on
Файл: engine/forum/sources/showtopic.php
Кусок кода:
if (intval($tid))
$row_topic = $db->super_query("SELECT * FROM " . PREFIX . "_forum_topics WHERE tid = $tid");


Как осуществить: http://site.com/?do=forum&act=topic&tid=1+[SQL]

Лечение!!!

Находим:
if (intval($tid))

Перед ним вписываем:
$tid = intval($tid);
Другие новости по теме:

Категория: Баги ----- Просмотров: 4170 ----- Комментариев: 7

Вернуться

  • Группа: User
  • ICQ: --
  • Регистрация: 9.02.2009
  • Комментариев: 64
  • Публикаций: 20
^
не правильное лечение wink

--------------------
SECURED DLE v.1.0 - спешите узнать
Не наживайте себе врага в виде KZPROMO (C) ZLoy
RU-UA.WS
  • Группа: User
  • ICQ: 373624275
  • Регистрация: 13.02.2010
  • Комментариев: 71
  • Публикаций: 0
^
nugumanov, подскажи правильное, хотя да зачем bv

--------------------
будуший мегахацкер
  • Группа: User
  • ICQ: --
  • Регистрация: 9.02.2009
  • Комментариев: 64
  • Публикаций: 20
^
Находим:
if (intval($tid))

Заменяем на
if(is_numeric($tid))

--------------------
SECURED DLE v.1.0 - спешите узнать
Не наживайте себе врага в виде KZPROMO (C) ZLoy
RU-UA.WS

  • testat

  • 24 июня 2010 21:16
  • Группа: Гости
  • ICQ: --
  • Регистрация: --
  • Комментариев: 0
  • Публикаций: 0
^
Проверил
http://site.com/?do=forum&act=topic&tid=1+[SQL]
не работает

Проверял 2.5 и 2.4
  • Группа: User
  • ICQ: --
  • Регистрация: 9.02.2009
  • Комментариев: 64
  • Публикаций: 20
^
Зависимость: register_globals = on
читай внимательно lol

--------------------
SECURED DLE v.1.0 - спешите узнать
Не наживайте себе врага в виде KZPROMO (C) ZLoy
RU-UA.WS
На самую главную
На главную

Релизы CMS DLE
Шаблоны для DLE
Модули для DLE
Хаки
Платные DLE шаблоны & модули
Баги
Скрипты для сайта
Вебмастеру
Для фотошопа
Все последние новости