Gdzieś 7 czerwca rozpocząłem pracę nad własnym skryptem forum.
Skrypt ma budowę strukturalną w 95%, te 5% jest to klasa MySQL oraz klasa szablonów.
Cudów tam nie ma ale jak na 2tyg. pracy chyba nie jest źle.
Proszę szukać błędów, sql inj, xss etc.



Hosting na razie jest jaki jest (troche wolny, niestabilny) ale jak skrypt będę rozwijać (mam taki zamiar) to się coś wybierze.

Pozdro

Mam tylko jeden, więcej mi sie szukac nie chce. Przy rejestracji, jak podajesz dane i masz błąd, wszystko jest kasowane.

@down: Jakkolwiek to nazwiesz, jeśli nie ma ficzera to jest to błąd

chodzi ci o to zeby login zostal, email i te inne dane?
to to nie jest blad ;p
jedynie zapomnialem dodac, dzieki za uwage

Strona dziurawa . Dokładniej podatna na SQL Injection oraz Blind SQL Injection. Złamanie jej zajęło mi 5 minut . Hasło typu xxx111 nie jest zbyt najtrudniejsze do złamania ;]. Pierwszy z brzegu słownik MD5 mi rozgryzł hash(czemu nie dodajesz soli?).

A tu działający kod


W polu Strona WWW widać jak na dłoni hasło administratora .

Pozdrawiam

nom brawo
dziwne, dałem mysql_real_escape_string bo tak sie ogolnie zabezpieczam przed sql inj, podaj mi na pw jak mozesz inne sql inj, blind sql
zeby sie jakos zabezpieczyc dodalem sprawdzanie czy get jest wartoscia numeryczna

zmiana adresu : zenb.tk lub zenb.xaa.pl

W changelog po zalogowaniu macie ostatnie zmiany ;p
Zapraszam do testowania (glownie sql inj )

ref

http://zenb.xaa.pl/pw.php?mode=new&use...);%3C/script%3E

poprawione, prosze o wiecej bo chce kiedys wypuscic skrypt a nie chce czegos pelnego xss, sql injection wypuscic a sam nie wylapie bledow

ref, dodalem ocenianie postow w niektorych forach