-
Regolamento Macrocategoria DEV
Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!
Guida BusCMS! v0.1
- Autore discussione bozzato
- Data d'inizio
Andr3a92
Utente Medio
Riferimento: BusCMS! v0.1
function addbook()
{
$nome=htmlspecialchars($_POST["nome"]);
$testo=htmlspecialchars($_POST["testo"]);
$testo2=addslashes($testo);
mysql_query("INSERT INTO guestbook (nome, testo) VALUES ('$nome', '$testo2')") or die ("<b><font color=red face=verdana>Errore nell'inserimento del messaggio.</font></b>". mysql_error());
header("Location: guestbook.php");
}
(in function.php)
dai un addslashes anche a $nome
in update.php l'url fopen non è permesso sempre, usa un file_get_contents($url)
csrf in addadminfinal.php (metti un captcha, è la soluzione piu semplice)
(se non sai cos'è in pratica uno ti crea una pagina che invia i dati a addadminfinal.php tramite un form nascosto, senza alcuna interazione dell'utente. Appena vai su un link, automaticamente la pagina verrà caricata e se eri loggato nell'amministrazione riconosce la richiesta come inviata da un admin, e ne aggiunge uno nuovo, stile XSS ma sta volta non ti ruba i cookie)
function addbook()
{
$nome=htmlspecialchars($_POST["nome"]);
$testo=htmlspecialchars($_POST["testo"]);
$testo2=addslashes($testo);
mysql_query("INSERT INTO guestbook (nome, testo) VALUES ('$nome', '$testo2')") or die ("<b><font color=red face=verdana>Errore nell'inserimento del messaggio.</font></b>". mysql_error());
header("Location: guestbook.php");
}
(in function.php)
dai un addslashes anche a $nome
in update.php l'url fopen non è permesso sempre, usa un file_get_contents($url)
csrf in addadminfinal.php (metti un captcha, è la soluzione piu semplice)
(se non sai cos'è in pratica uno ti crea una pagina che invia i dati a addadminfinal.php tramite un form nascosto, senza alcuna interazione dell'utente. Appena vai su un link, automaticamente la pagina verrà caricata e se eri loggato nell'amministrazione riconosce la richiesta come inviata da un admin, e ne aggiunge uno nuovo, stile XSS ma sta volta non ti ruba i cookie)