Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Skeletron

#551
Y NO HAY NINGUN TAG DE HTML!!!?!?!?!?!?

Ningun tag de HTML que me FORCE la descarga de un archivo?? Ningun codigo fuente de nada??? imposible!
#552
Puedo escribir en el codigo fuente, un <script>xxxxxxxxxxxxxx</script>
El unico problemita, es que al poner un ' o ", le agrega una \ antes...

nada mas...
Algun codigo javascript para mostrarme el contenido del archivo?? o algo?? tengo acceso a escribir LO QUE QUIERA en el codigo fuente...
#553
Amigo. Encontre una vulnerabilidad en una web... Por el metodo GET, le pasan el nombre de una imagen a ejecutar.. a mostrar..

Yo logro hacer que se direccione a el index.php...

Pero quiero DESCARGARLO... no ABRIR el index.php

:)


No es para mi web.. es obvio que quiero "valeme" de una vulnerabilidad..
#554
Hola gente..
Mi pregunta es la siguiente:
Supongamos que desde mi web, quiero que me DESCARGUEN, un archivo .PHP... no que se "ejecute"... o sea.. no quiero ABRIR un archivo.php, sino, DESCARGARLO..

Como hago???

Un link del tipo:
<a href="index.php">click aca</a>, lo que hace, es ABRIR esa web.. pero yo quiero que el usuario la DESCARGUE.. a su pc..


COmo hago?

O como hago para poder VER ese codigo en el browser.. o sea. que me VEAN el codigo PHP que tengo dentro del archivo.. que no se EJECUTE el php en su servidor APACHE, sino que se muestre como texto.. como hago?
#555
PHP / Re: Como evito SQL Inyection?
8 Diciembre 2009, 22:25 PM
Claro claro claro.. ya entendí...
Sería como "cerrarle la puerta" al link, que se no se ejecute la operacion, a no ser que se cumpla otra condicion antes..

Podria ser tambien que el admin tenga que ir a algun lugar de la administracion, y haga click en "habilitar borrado de usuarios", y dentro de borrarusuarios.php que mire si en la base de datos si han precionado ese boton...

Como un boton que habilita un boton :P

Ya entendi, ya entendi!!!...

En cuanto a evitar el acceso a direcctorios haciendo el ../../../../, supongo que mi hosting tendrá algun tipo de proteccion para ello!!!!!!.... igualmente, no utilizo algo así en la web... Pero lo tendré en cuenta para alguna vez ;)

Y que me dicen de los ataques: rfi, lfi, ???
#556
PHP / Re: Como evito SQL Inyection?
8 Diciembre 2009, 19:36 PM
Jamas entendi CSRF (tampoco investigue mucho)
Acabo de leer los otros items, y no me imagine esas vulnerabilidades.

A la web la tengo en un hosting, así que creo que varias vulnerabilidades estan evitadas por software..

Nadie conoce algun libro o algun documento donde se hablen de las vulnerabilidades mas generles a nivel web?
#557
Bases de Datos / Re: Dudas de consulta SQL
7 Diciembre 2009, 20:24 PM
Perfecto!
Creo que no queda mas nada por preguntar :D

Muchisimas gracias! como siempre!
#558
PHP / Re: Como evito SQL Inyection?
7 Diciembre 2009, 20:21 PM
Huy.. es verdad... que idiota.. creí que tambien en la base de datos iba a aparecer el \'

Perfecto entonces... FUnciona perfectamente el "ingresado" de datos :D

Los amo...

Y en cuanto al UPDATE, hay que hacer lo mismo, o no?

Y para evitar XSS, imprimo los campos con htmlspecialchars? o htmlentities?
#559
PHP / Re: Como evito SQL Inyection?
7 Diciembre 2009, 19:40 PM
Veré el Software, y lo del magicquotes..

porque esta sentencia: "INSERT INTO mails (mail) VALUES ('" . mysql_real_escape_string($_POST['mail']) . "')"
Me sigue ingresando perfectamente..
#560
PHP / Re: Como evito SQL Inyection?
7 Diciembre 2009, 19:22 PM
Ohhh por dios.. no me gusta todo eso que se ve ahi..!!!
Porque tanto codigo?

En cada consulta SQL, con poner mysql_real_escape_string($xxx) ya es suficiente?
Y al presentar los datos en la web, colocar el htmlspeciacharacters() de php (no recuerdo si se escribiía así :P)