Цитата:
Сообщение от aleshka
Скрипт потенциально уязвим к sql иньекциям, т.к. не фильтруется переменная $name, исправляем для примера вот так вот:
ищем строчку с текстом:
$name = $_GET["name"];
заменяем его на:
$name = mysql_real_escape_string($_GET["name"]);
пысы: mysql_real_escape_string - функция фильтрует нежелательные символы способствующие хацкерам в взломе базы )))
|
лучше ещё и убирать ф-цию chr() так как можно через него написать "';DROP DATABASE l2jdb;--"
Код:
if ($loca==1) { $it1 = $itka; } //else $it10="noicon";
я заменил на :
Код:
$it1 = $loca==1?$itka:"noicon";