SQL – инъекция в DLE-Forum 2.4 В DLE Forum 2.4 есть уязвимость, которая позволяет выполнять запросы в бд, и узнавать любую инфу, например о логинах и о паролях. У кого стоит данная версия форума, рекомендуется проверить на уязвимость:
<div style="text-align: center;"><img width="200px" src="http://my-dle.ru/uploads/posts/2010-04/thumbs/1270896349_3_dle.png" alt='DLE Base Link Downloader v0.1 + DLE SQL базы!' title='DLE Base Link Downloader v0.1 + DLE SQL базы!' />
Описание: sql-инъекция Зависимость: register_globals = on Файл: engine/forum/sources/showtopic.php Кусок кода: if (intval($tid)) $row_topic = $db->super_query("SELECT * FROM " . PREFIX . "_forum_topics WHERE tid = $tid"); Как осуществить: http://site.com/?do=forum&act=topic&tid=1+[SQL]
Squel.js: создаем SQL строки запроса при помощи javascript
Иногда мы просто не можем знать, как будет выглядеть наш SQL-запрос, так как бывают ситуации, что запрос должен быть создан динамически. Либо вы, возможно, ищете решение, которое сделало бы ... Источник:coolwebmasters.com