Forum. MyNuke.ru

Forum. MyNuke.ru (http://forum.mynuke.ru/index.php)
-   Уязвимости Защиты (http://forum.mynuke.ru/forumdisplay.php?f=15)
-   -   PHP-NUKE SQL-Иньекция в модуле Search (http://forum.mynuke.ru/showthread.php?t=1357)

Soniks 21.02.2006 19:11

PHP-NUKE SQL-Иньекция в модуле Search
 
Продукт: php-nuke

Версия: 7.5-7.9

Уровень: средний

Описание: Из-за отсутствия проверки переменной $query в модуле Search злоумышленник может произвести sql инъекцию и завладеть правами администратора и более серьезных последствий.

Устранение:
Открываем modules/Search/index.php
находим:
PHP код:
 $query stripslashes(check_html($query"nohtml")); 

заменяем на:
PHP код:
 $query addslashes(check_html($query"nohtml")); 

Ispanez 09.03.2006 03:11

А в модуле RuSearch V0.2 там такая строка

PHP код:
 $query stripslashes($query); 


Как в нем, тоже поменять?

Soniks 11.03.2006 01:17

Ispanez да тоже нужно профильтровать входящий запрос


Часовой пояс GMT +4, время: 14:50.

Copyright © 2005 by Soniks