![[info]](http://l-stat.livejournal.com/img/userinfo.gif?v=92.1){kind=small}
Продолжаем тестирование сраного упячкобашедвачика, начатое здесь.
Ссылка: http://lab.megabyte-web.ru/ubch/
Прибиты все найденные баги, в частности:
* Нельзя добавлять пустые ПСТО и КОМЕНТАРИЕ.
* Показывает постера и модера ПСТО при просмотре КОМЕНТАРИЕ.
* Фильтруются данные, передаваемые через GET.
* HTML-код в комментах не работает.
Косяки были исключительно глупые, и пофиксились за полчаса, как только эти полчаса у меня нашлись.
UPD: Переписал с использованием CSS, и оформление улучшил.
UPD2: Прибиты ещё баги:
* Возможность открывать и комментировать несуществующие посты.
* Непереносящийся текст в комментах.
* Ограничен размер коммента (1024 символа) и псто (2048 символов).
* Псто и коменте из пробелов больше не постятся.
* Ещё по мелочи.
May 7 2009, 06:30:05 UTC 3 years ago
May 7 2009, 06:32:02 UTC 3 years ago
Когда я это писал, ещё не знал про правильные доктайпы и мета-теги.
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
May 7 2009, 17:02:46 UTC 3 years ago
May 7 2009, 17:07:07 UTC 3 years ago
3 years ago
3 years ago
May 7 2009, 18:23:28 UTC 3 years ago
Можно ставить любой айдишник и комментить несуществующие записи.
Всё сохраняется великой машиной. Великой, но туповатой. :)
FCK YEAH!
=======================
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1.0E 56,'x',CURRENT_TIMESTAMP,'-1')' at line 1
=======================
Ещё комментам обрезание делать надо!
anything OR 'x'='x - не прокатило :( Не прививается, зараза.
"изыди" - гы-гы.
=======================
1=1
Warning: Cannot modify header information - headers already sent by (output started at /usr/home/u52/lab.megabyte-web.ru/WWW/ub
Вы залогинились, Neo
=========================
FFFUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
May 7 2009, 18:36:00 UTC 3 years ago
Верно. Легко чинится.
>Ещё комментам обрезание делать надо!
Заведу в админке такой пунктик.
>You have an error in your SQL syntax;
Как вызвал?
>anything OR 'x'='x
Баг был в прошлой версии, сейчас get-параметры фильтруются. Могу подсказать - параметры берутся до первого пробела. Можно иньекцию как-то без пробелов впендюрить?
>1=1
>Warning: Cannot modify header information
Известная фигня, что-то лениво править.
3 years ago
3 years ago
3 years ago
3 years ago
May 8 2009, 16:47:21 UTC 3 years ago
May 7 2009, 18:38:09 UTC 3 years ago
Это логин сломался или я только какие-то свои локальные файлы покорябал?
У кого ещё "единравноодин"?
May 7 2009, 18:47:38 UTC 3 years ago
3 years ago
May 7 2009, 20:09:19 UTC 3 years ago
Длину логина-пароля можно подрезать. 256 символьный логин - это жесть.
И не отображается в заголовке коммента.
May 8 2009, 07:44:55 UTC 3 years ago
May 8 2009, 16:49:45 UTC 3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
May 7 2009, 20:10:21 UTC 3 years ago
http://www.nextgenss.com/papers/advance
http://www.imperva.com/docs/SQLInjectio
May 8 2009, 07:51:54 UTC 3 years ago
May 8 2009, 09:52:49 UTC 3 years ago
May 9 2009, 10:52:24 UTC 3 years ago
Посмотри на дату.
Только не говори мне "обнови страницу, перезагрузи компьютер...". :Р
May 9 2009, 15:01:18 UTC 3 years ago
3 years ago
3 years ago
May 9 2009, 16:16:41 UTC 3 years ago
Последние два коммента - пустые. Появились после фикса. Автор не я.
По опыту с предыдущим случаем, не возможно ли, что возможность вставить пустой коммент зависит и от того, что есть на компе пользователя? Кукисы, там, сохранённые файлы..?
May 9 2009, 16:37:32 UTC 3 years ago
Интересно не то, что это запощено.
Интересно, что в некоторых случаях автор коммента остаётся анонимным.
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
3 years ago
May 10 2009, 16:23:03 UTC 3 years ago
совращатьсмущать юзеров псевдо-официальными новостями ;)May 10 2009, 16:26:54 UTC 3 years ago
May 10 2009, 18:01:48 UTC 3 years ago
May 11 2009, 03:10:40 UTC 3 years ago
May 13 2009, 13:24:02 UTC 3 years ago
Шо це?
May 13 2009, 13:29:29 UTC 3 years ago