11.07.2009, 00:31
|
|
Постоянный
Регистрация: 07.11.2007
Сообщений: 392
Провел на форуме:
1325167
Репутация:
100
|
|
Зададние 027
Нет фильтрации в sql запросе.
XSS исключена, т.к. htmlspecialchars() не будет выполнять зловредный код.
Должо быть так:
Код:
<?php
if (! preg_match("|^[\w\d\. ]+$|i", $name))
$name= htmlspecialchars($_POST['name'], ENT_COMPAT);
mysql_query("select * from users Where name = '$name'");
?>
Остальные задания выносят мозг.... |
|
|