Показать сообщение отдельно
Soniks вне форума      Старый "ad_click" SQL-инъекция в phpNuke #1  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
15.03.2007, 14:13

Продукт: PHP-Nuke
Версия: 8.0 и ниже
Описание:
Злаумышленник, может сфортмировать и послать запрос к скриптам сайта миную фильт sql инъекций, при помощи параметра "ad_click".

Устранение:


Открываем mainfile.php

Находим (131 строка):
PHP код:
 if(isset($_SERVER['QUERY_STRING']) && (!stripos_clone($_SERVER['QUERY_STRING'], "ad_click"))) { 

Заменяем на:
PHP код:
 if(isset($_SERVER['QUERY_STRING'])) { 


На этом все!
 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".