Ребят, нашел на своем сайте уязвимость. В бд можно записать любую строчку, и потом в одном месте он выводит данные из бд не фильтруя. Т.е XSS есть(алерт пишется,выводится и срабатывает). Скоро исправлю.

Но меня больше интересует SQL инъекция. сейчас фильтруются все кавычки(комментируются обратным слешем, аж 4 шт, хз зачем)

пример пр вводе ' UNION SELECT 1:

purch='\\\\' UNION SELECT 1'

Этого достаточно чтоб не было инъекции?

Можно пример когда это не поможет? (надо )

PS двиг куплен у фрила.