Hej!
Jeg har lige lavet et forum og i "betatesten" fandt jeg ud af at hvis
man i sin tekst skrev noget a la "|<" så blev alt efter | ikke indsat i
databasen.
Det virker på mig som om det er et sikkerhedshul, er det noget jeg kan
gøre ved det?
Pt. ser min kode sådan ud:
$input = addslashes(strip_tags($input));
echo $input; //ved en test med kun at skrive "|<" kom her |
mysql_query("INSERT INTO bla bla bla
For at se om det var noget man umiddelbart kunne udnytte tastede jeg:
|echo /home/bruhn/sysinfo.php
Der blev det hele bare sat ind i databasen og vist som alm. tekst.
Regards Ghashûl
--
http://ghashul.dk/
"I demand the right to keep and arm bears"
"A computer without Windows, is like a fish without a bicycle"