Forum Webscript.Ru

Программирование => PHP => Тема начата: Nimda от 16 Апреля 2002, 22:09:40

Название: Kak vslomat sobstvenuu gostevuhu?
Отправлено: Nimda от 16 Апреля 2002, 22:09:40
echo "Helloworld";
Ya napisal gostevuhu php/mysql teper hochu ee vslomat.
Dumal, dumal kak eto mojno sdelat i vot prishla mne ideya, shto mojno eto osushestvit cheres formular otsilki sapisei?
Problemka vot tolko odna, esli ya otsilau php script k primeru
$name = test;
echo $name;
?>
to ya potom viju svoi skript v kode stranize, a ne na ekrane pri vihode, dogadivaus daje pochemu, no vot kak je bit esli v gostevuhe stirat nelsa.
Budu presnatelen esli kto-to mne pomojet. Mojet bit ya logichiski nepravilno podoshel k etomu voprosu, no poka lutshego sposoba ya ne nashel.
echo "Cu"; :insane:
Название: Kak vslomat sobstvenuu gostevuhu?
Отправлено: Ancient от 16 Апреля 2002, 23:05:33
Ты напиши где у тебя гостевуха, мы посмотрим, может еще чего найдем ;)
Название: Kak vslomat sobstvenuu gostevuhu?
Отправлено: Dm от 17 Апреля 2002, 03:06:18
чтобы код выполнить, необходимо его вставить в eval.
присылай скрипт, поищим дыры.
Название: Kak vslomat sobstvenuu gostevuhu?
Отправлено: Nimda от 17 Апреля 2002, 23:10:37
Privet.
Ya sdelau sperva design polushe, shtobi vam interesnie lomat bilo.
Postaraus, segodna - savtra, sakonchit.
Cu.
Название: Kak vslomat sobstvenuu gostevuhu?
Отправлено: Dm от 19 Апреля 2002, 01:54:46
Nimda
гениально! еще о материальных интересах подумай...

для того, чтобы реально посмотреть наличие дыр в программном обеспечении необходимо представить исходные коды.
Название: Kak vslomat sobstvenuu gostevuhu?
Отправлено: Nimda от 19 Апреля 2002, 10:54:52
Privet.
Na schet dir i kodov upominat ne nado, prosto hotel kak lutshe, ne tupoi.
Esli ya teba pravilno ponil besplatno smotret ti (Dm) ne hoshich, sachem togda pervii ras napisal shto posmotrish, ne seresno.
A takih kak ti v internete mnogo kotorie daje i o dengah ne sarekautsa.
Spasibo.
Cu.
Название: Kak vslomat sobstvenuu gostevuhu?
Отправлено: Dm от 19 Апреля 2002, 19:34:43
Nimda
блин. это тонкий намек был тебе, что не в дизайне дело!
если действительно хочешь, чтобы быстро отыскали все баги, то нужен исходник.
Название: Kak vslomat sobstvenuu gostevuhu?
Отправлено: Nimda от 20 Апреля 2002, 20:54:17
Privet.
Sorry shto ne tak ponil.
Gostevuha dla skachevoniya nahoditsa po adressu.
http://www.hong.de/gb.zip
Dla togo shtobi uvidet kak rabotaet gostevuha:
http://www.hong.de/gb/
Ona pravda bes dok. i na nemezkom.
Nekotorie objesnenie:
suchen = iskat
einfügen = sanosit dannie
Benutzername = username
Kennwort = parol
Einlogen = saiti
Eine Seite weiter = sleduushaya straniza
Eine Seite zurück = predshestvueshaya straniza
(hochu segodna eshe sdelat sapret sanoseniya html-tag\'s)

Dumaya shto vse shto nado napisal.
Jdu otveta.
Spasibo.
Cu.
Название: Какие символы надо удалять?
Отправлено: Foshvad от 21 Апреля 2002, 00:28:32
Хм.... интересная тема.
При вставки в MySQL все знают, что надо удалять %,? и два слэша (прямой и обратный)

А для php? Удаление каких символов может гарантировать недиеспособностью введенного сообщения, при условии включения его в eval ?
Во! :)
Кто нибудь знает?
Название: Part 3
Отправлено: Nimda от 25 Апреля 2002, 00:40:49
Privet.
Dopustim est funktiya, kotoraya otobrajaet v browsere dannie posle vvideniya ih v pole. Est u kogo nibud idei dalshe?
// these lines format the output as HTML comments
// and call dump_array repeatedly
echo "\\n\\n\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n";
echo "\\n\\n";
// dump_array() takes one array as a parameter
// It iterates through that array, creating a string
// to represent the array as a set
function dump_array($array)
{
  if(is_array($array))
  {
    $size = count($array);
    $string = "";
    if($size)
    {
      $count = 0;
      $string .= "{ ";
      // add each element\'s key and value to the string
      foreach($array as $var => $value)
      {
        $string .= "$var = \'$value\'";
        if($count++ < ($size-1))  
        {
          $string .= ", ";
        }
      }
      $string .= " }";
    }
    return $string;
  }
  else
  {
    // if it is not an array, just return it
    return $array;
  }
}
Spasibo poka.
Название: Kak vslomat sobstvenuu gostevuhu?
Отправлено: Dm от 25 Апреля 2002, 22:26:59
Цитировать
А для php? Удаление каких символов может гарантировать недиеспособностью введенного сообщения, при условии включения его в eval ?
Во!  
Кто нибудь знает?

недееспособностью - тогда всех :)

http://www.php.net/manual/en/function.eval.php
подробнее см. комменты