Меню
Что нового?

Вывод страниц по запросу вида ?go=index. Взгляд с безопасности!

Фанат

Фанат

oncle terrible
Команда форума
ты сейчас глупость какую-то написал
я тебя не спрашивал, что ты там в базе создаешь.
вопрос был "что делает stripslashes в этом коде?"
 

Baller

Новичок
to фАнАт
А смысл делать экстракт если при вводе пользователя:
http://localhost/valya/DLEW-content/indexwithoutarr.php?page=index&title_page=Haked&content_code=Porno%20arhive
он увидит что запросил.
А увидить названия переменных не заставило труда, достаточно ввести:
http://localhost/valya/DLEW-content/indexwithoutarr.php?page=some%20not%20created%20page%20yet

-~{}~ 19.06.07 22:37:

А стрипслэш убрал не будь так агрессивен разговаривать становиться неприятно с тобой, я добавил что есть ещё проблема которую я пытался устранить но несмог и просто оставил стрип в коде.
 
Фанат

Фанат

oncle terrible
Команда форума
опять ты какую-то фигню написал, ни малейшего отношения к моему вопросу не имеющую.
при чем здесь какие-то адреса?
какие ещё названия переменных и кто их увидел?
 

Baller

Новичок
У тебя на машине есть апач с пхп?
Создай себе файл пхп с таким кодом:
PHP: 
<?
################ Count how long is it takes to compile. page
list( $msec , $sec )= explode ( chr ( 32 ), microtime ());
$headtime = $sec + $msec ;
################  Request need information
include "head.php";
include "function.php";
if (empty ($_GET['page'])){	$goto = "index";} else {	$goto = $_GET['page'];}
$goto = mysql_escape_string ($goto); 

################  Building Menu
$DB = new mysql_db();
$DB->sql_connect();
$DB->query("SELECT `short_call`,`title_page` FROM `content`");
$Menu="";
while ($row = $DB->fetch_row())
{
	$Menu .= "<a href=\"?page=".$row['short_call']."\">".$row['title_page']."</a><br>";
}


$DB->sql_free();
################  Select info. to show

$DB->query("SELECT * FROM content WHERE short_call = '$goto'");
if ($row = $DB->fetch_row()){
	extract($row, EXTR_PREFIX_SAME, "wddx");
	
	
#    $short = "$row->short_call";
#    $title = "$row->title_page";
#    $code = "$row->content_code";
#    $date = "$row->date";

}
	else {
    $short = "";
    $title = "Error";
    $code = "<h1>Page cannot be found</h1><br>404";
    $date = "";
}



$DB->sql_free();
$DB->sql_close();
################  Show page
echo "<title>$title_page - DLEW Content </title>";
echo "<table width=100%>
<tr><td width=160  valign=top bgcolor=c9c9c9>";
echo "$Menu";
print "</td><td align=center>";
echo "<h1>$title_page</h1><br>$content_code";
$today = date("Y-n-j");
echo "<p><div align=right>Since "."$date"."</div>
<hr>";
echo "</td></tr></table>";

include "end.php";
list( $msec , $sec )= explode ( chr ( 32 ), microtime ());
echo "<center><h3>Generation time: " . round (( $sec + $msec )- $headtime , 4 ). "" ;
?>
 
Фанат

Фанат

oncle terrible
Команда форума
разговаривать становиться неприятно с тобой
Нажмите для раскрытия...
А С ТОБОЙ ПРИЯТНО?
тебе три раза за два дня сказали убрать, а ты до сих пор не смог внятно сказать - что тебе мешает!
Давайка ты в зеркало посмотришься, и не будешь мне рассказывать, что тебе неприятно?
мне, может быть, тоже неприятно по пять раз повторять одно и тоже без видимой реакции с твоей стороны.

Ты будешь обсуждать проблемы с кодом или с неприятностями?
Если второе, то топик закрыт, а тебе до свидания

-~{}~ 19.06.07 22:41:

Создай себе файл пхп с таким кодом:
Нажмите для раскрытия...
допустим, я его создам. и что?
 

Baller

Новичок
А потом введи переменные в браузере какие говорил выше и увидишь результат работы экстракта, там легко подменивать данные переменных а при работе экстракта он не заменяет их он просто будет создавать с суфиксом.

-~{}~ 19.06.07 22:43:

наверно если добавить EXTR_OVERWRITE
может он и перезапишет то что пользователь введёт.. щас посмотрю

-~{}~ 19.06.07 22:44:

да перезаписвает

-~{}~ 19.06.07 22:45:

просто я не знал как экстракт работает и ты толком не объяснил когда предлагал использовать его 3 раза. Вот я и был удивлён что так легко подменивать значения.
 
Фанат

Фанат

oncle terrible
Команда форума
чего-чего?
что там легко подменивать?
ничего не понимаю.
что у тебя вообще здесь делает строчка с экстрактом? для чего она?
ты сам-то понимаешь?

-~{}~ 19.06.07 22:46:

и ты толком не объяснил когда предлагал
Нажмите для раскрытия...
ДОКУМЕНТАЦИЮ! ЧИТАТЬ! НАДО!!!
 

Baller

Новичок
не знаю что не понятного, а ты и понять нехочишь сразу отговорки говоришь, естественно читаю если и нашел вариант решения конфликта. Уже понимать не актуально проблемы нету.
Рабочий код ниже
PHP: 
<?
################ Count how long is it takes to compile. page
list( $msec , $sec )= explode ( chr ( 32 ), microtime ());
$headtime = $sec + $msec ;
################  Request need information
include "head.php";
include "function.php";
if (empty ($_GET['page'])){	$goto = "index";} else {	$goto = $_GET['page'];}
$goto = mysql_escape_string ($goto); 

################  Building Menu
$DB = new mysql_db();
$DB->sql_connect();
$DB->query("SELECT `short_call`,`title_page` FROM `content`");
$Menu="";
while ($row = $DB->fetch_row())
{
	$Menu .= "<a href=\"?page=".$row['short_call']."\">".$row['title_page']."</a><br>";
}


$DB->sql_free();
################  Select info. to show

$DB->query("SELECT * FROM content WHERE short_call = '$goto'");
if ($row = $DB->fetch_row()){
	extract($row, EXTR_OVERWRITE);
}
	else {
    $short_call = "";
    $title_page = "Error";
    $content_code = "<h1>Page cannot be found</h1><br>404";
    $date = "";
}



$DB->sql_free();
$DB->sql_close();
################  Show page
echo "<title>$title_page - DLEW Content </title>";
echo "<table width=100%>
<tr><td width=160  valign=top bgcolor=c9c9c9>";
echo "$Menu";
print "</td><td align=center>";
echo "<h1>$title_page</h1><br>$content_code";
$today = date("Y-n-j");
echo "<p><div align=right>Since "."$date"."</div>
<hr>";
echo "</td></tr></table>";

include "end.php";
list( $msec , $sec )= explode ( chr ( 32 ), microtime ());
echo "<center><h3>Generation time: " . round (( $sec + $msec )- $headtime , 4 ). "" ;
?>
-~{}~ 19.06.07 22:53:

Что же делать с кавычками которые не показывает в ссылке, но видно из PHPmyAdmin я незнаю.

-~{}~ 19.06.07 22:54:

попробовал вывести как текст выводит правильно.
А когда в ссылке <a href=$row['short_call']> что то не хочет...
 
Фанат

Фанат

oncle terrible
Команда форума
Во-первых, дорогой мой обиженный дружочек, что делать со ссылками, рассказывается в учебнике HTML для первого класса.
Во-вторых, я тебе еще два дня назад ссылку давал, которую ты за это время должен был как "Отче наш" выучить, а ты в неё даже одним глазом заглянуть не соизволил

-~{}~ 19.06.07 22:57:

<a href=$row['short_call']>
Нажмите для раскрытия...
что это за бред?

ты можешь написать здесь человеческое описание проблемы, а не какую-то мешанину из html и php?
 

Baller

Новичок
Я не обиженный! Ну Html я с примерно первого класса и знаю.
А вот за ссылочку спасибо сейчас почитаю. Значит время тогда не пришло, а сейчас в самый раз :D.

-~{}~ 19.06.07 23:06:

Да да моя ошибка мешанину написал....
$Menu .= "<a href=\"?page=".$row['short_call']."\">".$row['title_page']."</a><br>";- вот так не выводит short_call полностью

echo $row['short_call']; а так очень даже выводит
 
Фанат

Фанат

oncle terrible
Команда форума
у тебя ещё проблемы остались?
если остались - потрудись из описывать русским языком.
еще одно заявление в стиле "бред какой-то" и терпение мое кончится.
 

Baller

Новичок
Просто немного забывать русский стал ... шучу.... хотя иногда слова мешаются между собой с английским.
 
Войдите или зарегистрируйтесь для ответа.
Сверху