Forum. MyNuke.ru - PHP-NUKE SQL-Иньекция в модуле Search

Forum. MyNuke.ru (http://forum.mynuke.ru/index.php)

- Уязвимости Защиты (http://forum.mynuke.ru/forumdisplay.php?f=15)

- - PHP-NUKE SQL-Иньекция в модуле Search (http://forum.mynuke.ru/showthread.php?t=1357)

PHP-NUKE SQL-Иньекция в модуле Search

Продукт: php-nuke

Версия: 7.5-7.9

Уровень: средний

Описание: Из-за отсутствия проверки переменной $query в модуле Search злоумышленник может произвести sql инъекцию и завладеть правами администратора и более серьезных последствий.

Устранение:
Открываем modules/Search/index.php
находим:

PHP код:


		
			
 $query = stripslashes(check_html($query, "nohtml"));

заменяем на:

PHP код:


		
			
 $query = addslashes(check_html($query, "nohtml"));

А в модуле RuSearch V0.2 там такая строка

PHP код:


		
			
 $query = stripslashes($query);

Как в нем, тоже поменять?

Ispanez да тоже нужно профильтровать входящий запрос