Kak vslomat sobstvenuu gostevuhu?

[Nimda]

echo "Helloworld";
Ya napisal gostevuhu php/mysql teper hochu ee vslomat.
Dumal, dumal kak eto mojno sdelat i vot prishla mne ideya, shto mojno eto osushestvit cheres formular otsilki sapisei?
Problemka vot tolko odna, esli ya otsilau php script k primeru
$name = test;
echo $name;
?>
to ya potom viju svoi skript v kode stranize, a ne na ekrane pri vihode, dogadivaus daje pochemu, no vot kak je bit esli v gostevuhe stirat nelsa.
Budu presnatelen esli kto-to mne pomojet. Mojet bit ya logichiski nepravilno podoshel k etomu voprosu, no poka lutshego sposoba ya ne nashel.
echo "Cu"; :insane:

[Ancient]

Ты напиши где у тебя гостевуха, мы посмотрим, может еще чего найдем

[Dm]

чтобы код выполнить, необходимо его вставить в eval.
присылай скрипт, поищим дыры.

[Nimda]

Privet.
Ya sdelau sperva design polushe, shtobi vam interesnie lomat bilo.
Postaraus, segodna - savtra, sakonchit.
Cu.

[Dm]

Nimda
гениально! еще о материальных интересах подумай...

для того, чтобы реально посмотреть наличие дыр в программном обеспечении необходимо представить исходные коды.

[Nimda]

Privet.
Na schet dir i kodov upominat ne nado, prosto hotel kak lutshe, ne tupoi.
Esli ya teba pravilno ponil besplatno smotret ti (Dm) ne hoshich, sachem togda pervii ras napisal shto posmotrish, ne seresno.
A takih kak ti v internete mnogo kotorie daje i o dengah ne sarekautsa.
Spasibo.
Cu.

[Dm]

Nimda
блин. это тонкий намек был тебе, что не в дизайне дело!
если действительно хочешь, чтобы быстро отыскали все баги, то нужен исходник.

[Nimda]

Privet.
Sorry shto ne tak ponil.
Gostevuha dla skachevoniya nahoditsa po adressu.
http://www.hong.de/gb.zip
Dla togo shtobi uvidet kak rabotaet gostevuha:
http://www.hong.de/gb/
Ona pravda bes dok. i na nemezkom.
Nekotorie objesnenie:
suchen = iskat
einfügen = sanosit dannie
Benutzername = username
Kennwort = parol
Einlogen = saiti
Eine Seite weiter = sleduushaya straniza
Eine Seite zurück = predshestvueshaya straniza
(hochu segodna eshe sdelat sapret sanoseniya html-tag\'s)

Dumaya shto vse shto nado napisal.
Jdu otveta.
Spasibo.
Cu.

[Foshvad]

Хм.... интересная тема.
При вставки в MySQL все знают, что надо удалять %,? и два слэша (прямой и обратный)

А для php? Удаление каких символов может гарантировать недиеспособностью введенного сообщения, при условии включения его в eval ?
Во!
Кто нибудь знает?

[Nimda]

Privet.
Dopustim est funktiya, kotoraya otobrajaet v browsere dannie posle vvideniya ih v pole. Est u kogo nibud idei dalshe?
// these lines format the output as HTML comments
// and call dump_array repeatedly
echo "\\n\\n\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n\\n";
// dump_array() takes one array as a parameter
// It iterates through that array, creating a string
// to represent the array as a set
function dump_array($array)
{
  if(is_array($array))
  {
    $size = count($array);
    $string = "";
    if($size)
    {
      $count = 0;
      $string .= "{ ";
      // add each element\'s key and value to the string
      foreach($array as $var => $value)
      {
        $string .= "$var = \'$value\'";
        if($count++ < ($size-1))  
        {
          $string .= ", ";
        }
      }
      $string .= " }";
    }
    return $string;
  }
  else
  {
    // if it is not an array, just return it
    return $array;
  }
}
Spasibo poka.

[Dm]

А для php? Удаление каких символов может гарантировать недиеспособностью введенного сообщения, при условии включения его в eval ?
Во!  
Кто нибудь знает?

недееспособностью - тогда всех

http://www.php.net/manual/en/function.eval.php
подробнее см. комменты