Вход

View Full Version : PHP-NUKE SQL-Иньекция в модуле Search


Soniks
21.02.2006, 19:11
Продукт: php-nuke

Версия: 7.5-7.9

Уровень: средний

Описание: Из-за отсутствия проверки переменной $query в модуле Search злоумышленник может произвести sql инъекцию и завладеть правами администратора и более серьезных последствий.

Устранение:
Открываем modules/Search/index.php
находим:
$query = stripslashes(check_html($query, "nohtml"));
заменяем на:
$query = addslashes(check_html($query, "nohtml"));

Ispanez
09.03.2006, 03:11
А в модуле RuSearch V0.2 там такая строка

$query = stripslashes($query);

Как в нем, тоже поменять?

Soniks
11.03.2006, 01:17
Ispanez да тоже нужно профильтровать входящий запрос