Mensajes

Ps en esté caso si deberías de tener un array con las etiquetas que no sean permitidas, realizar una expresión regular y eliminarlos.

:http://www.ribosomatic.com/articulos/editor-de-texto-wysiwyg-para-drupal/

[1.]

1. Tienes acceso a los archivos que quieres infectar?
2. No se para que quieres esto, cuéntanos...
3. R.F.I o ExecPHP, podrías hacer qué el script actual -del servidor-,
3.1 incluya un archivo externo, a esto se le llama R.F.I.
3.2 ejecute un comando CMD, siempre y cuando exista como parámetro GET cmd.

Código (php) [Seleccionar] Expandir

string htmlentities ( string $string [, int $flags = ENT_COMPAT [, string $charset [, bool $double_encode = true ]]] )
:http://php.net/manual/es/function.htmlentities.php

WTF!. Se ingresarán mediante llegue el dato. Pero por lo que parece quieres concatenar esos 2 datos?. Hay algún lenguaje de programación de por medio?

WTF!

[DESCUBRISTE]

1. No DESCUBRISTE, estás usando un vulnerabilidad que es iSQL -ya existía hace mucho tiempo-.
2. Interfieres con la ejecución de la Query pero no puedes inyectar.
3. Quizás sea una blind.

Pues ni idea de como estará contruida la web pero mira por ejemplo :http://wiki.elhacker.net/bugs-y-exploits/nivel-web/remote-code-command-execution

[@madpitbull_99]

Te amo @madpitbull_99, si vivieramos cerca te daría un hijo... 

No es que sepa mucho de BASH, pero por simple logica y deducción no creo que sea un exploit, más bien un scanner para verificar que el target es vulnerable a ese tipo de bug.

O quieres decir esta mediante algun codigo:

Exacto!... Es como la ubicación pero no el Latitud-Longitud, si no como el nombre de la calle, dirección de domicilio, etc...