utm_stat script SQL injection как победить?

Slad · Сообщение **Slad** » Ср апр 13, 2005 15:26

Собственно и весь вопрос, как не дать шустрым добавлять себе баланс и не выключать блокировки, ну т.д.

dalex · Сообщение **dalex** » Ср апр 13, 2005 15:30

обновиться. эта дыра стара как ... мамонта.

Slad · Сообщение **Slad** » Чт апр 14, 2005 03:39

Поставил обновления от 17.05.2004 и не помогло.
Утм -4ка.

Victor · Сообщение **Victor** » Чт апр 14, 2005 07:36

проси сентябрьское, 2003-го

Slad · Сообщение **Slad** » Чт апр 14, 2005 07:41

Есть только от 15.07.2003 и от 17.05.2004, других нету.

Victor · Сообщение **Victor** » Чт апр 14, 2005 10:58

Звони в netup...

Slad · Сообщение **Slad** » Чт апр 14, 2005 12:40

А обновление от 17.05.2004 не перекрывает старые?
если все бинарники в нем меняются?

Skylord

Что за гон? В майском от 2004 все пофиксено. Проверял собственными руками.

Slad · Сообщение **Slad** » Вт апр 19, 2005 07:08

Я тоже проверял, лично сам смог убедится, что добавить можно не только на баланс , но и сменить кредит и прочее.

Skylord

Мать моя женщина! А ведь и впрямь! Дырка-то хоть древняя и хоть вроде бы пофиксеная, но работает. :-O
Стоит апдейт от 17 мая и хоть бы хны! Е мое... Ужас-то какой... Усе, товарищи, спасибо что навели на эту шнягу. Побежал фиксить.... А то ХЗ, когда разработчики разродятся...

Skylord

Уффф... По минимуму сделал - sid_verify поправил и change_lang. Дальше видно будет....
Вот блин. Пойду пивка засосу по такому случаю... Аж коленки трясутся.

))

maksim · Сообщение **maksim** » Вт апр 19, 2005 21:25

Skylord писал(а):Уффф... По минимуму сделал - sid_verify поправил и change_lang. Дальше видно будет....
Вот блин. Пойду пивка засосу по такому случаю... Аж коленки трясутся. ))

может запостишь как ?

Skylord

maksim писал(а):
Skylord писал(а):Уффф... По минимуму сделал - sid_verify поправил и change_lang. Дальше видно будет....
Вот блин. Пойду пивка засосу по такому случаю... Аж коленки трясутся. ))
может запостишь как ?

Нет. Меня за это администрация НетУпа прибьет. Они меня и так не любят за известные вещи.

Если у тебя реально проблема стоит (типа, большая сетка, где куча кул-хацкеров) - вылези в аську, будем решать.

dalex · Сообщение **dalex** » Ср апр 20, 2005 08:55

Нет. Меня за это администрация НетУпа прибьет.

так они же 4 не поддерживают типа теперь свободный продукт

Skylord

dalex писал(а):
Нет. Меня за это администрация НетУпа прибьет.
так они же 4 не поддерживают типа теперь свободный продукт

Ну-ну... Я им примерно также говорил... Не хотят. Если бы они взяли на себя обязательство включить предложенные патчи и сразу выпустить - кинул бы им, раз им самим делать лениво. Дык, ведь им и выкладывать лень!

А я вот, например, себе тут сделал приятную штучку (естественно, нативно в УТМ, а не всякими дополнительными скриптами): возможность юзеру самому себе e-mail менять. Очень симпотно - в репорте в верхней табличке появляется строчка, где можно вбить/изменить свой текущий адрес. Ибо при регистрации его узнавать то лень, то забываем, то люди сами не помнят... А так - кто хочет инфу о состоянии счета получать - вводят и счастливы.

Думаю, многим такая феня пригодилась бы.