Mensajes

Adastra te añadí un punto :-)

Las vulnerabilidades de SQLi sobre Plesk que se han comentado afectan al Control Panel de Plesk, no afectan al mecanismo de autenticación o la parte pública del gestor, de todos modos he ejecutado las pruebas de SQLi estandar contra el formulario de autenticación (sin exito), en concreto, algunas han sido

Esto quiere decir que para hacer uso de ella hace falta estar logueado ¿Verdad?

te gusta la vida militar? ppues a intentarlo.

¿A quien no le gusta?

No hacen nada... (miento, barren lo que hace EEUU).

[adastra]

adastra te subo unos puntos si indicas como las probaste :-)

Yo esta mañana miré 5 minutos en la oficina por que no tenía más tiempo y no encontré dodne decía que fue vulnerable esa versión.

La funcion empty() de PHP toma como vacia la variable si esta contiene el numero 0 o el caracter '0'.

También miran que no tengan FALSE o que estén vacios (creo).

Yo cuando uso empty() para saber si existe algo en la db le paso una valor por ejemplo $valor['ID'] que no empieza por 0 xD

También puedes hacer:

Código (php) [Seleccionar] Expandir

if(mysql_num_rows($valor)){
//Existe registro/s

}else{
//No existe registros :-(

};

Yoya es una gran idea! Pero el problema es que se acepta divs, css y mil cosas más...

Así que no importa, quitaré <script> y lo que huela a 'caca' y le meteré un anti CSRF además de comprobación mediante referer.

Gracias a todos, si alguien quiere el código una vez lo haga que me lo diga.

Pues lo unico que se me ocurre es que donde encuentre la palabra script, esta sea reemplazada por espacios y ya.

Sí, pero mi experiencia mi dice que existen 100.000 formas de hacer un XSS sin la palabra script.

Por ejemplo incluyendo un js de manera externa.

Pues tengo que hacer una especie de gestor de correo electrónico. Repito 'una especie'.

Y tengo el problema que una vez el usuario redacta el 'email' y le da a 'siguiente' lo tiene que previsualizar.

Aquí tengo el problema, el email puede tener hasta 100.000 carácteres y para la previsualización he pensado en guardarlo en mysql o de alguna forma. Puesto que si lo muestro de la variable POST es vulnerable a XSS y no puedo pasarle el htmlspecialchars ni nada por el estilo puesto que el mensaje es en HTML con colores, etc... por lo que no se podría previsualizar.

¿Alguna idea?

Ahhh que va, que va, ya la conocía, te puedo contar la historia y todo hehehe...

Uno de mis proyectos 'personales' era junto a un amigo hacer uan web de cervezas (opiniones) e ir bebiendo una por una... xDD

Y dije que eran 3 cervezas puesto que existen tres variedades de HACKER PSCHORR (principalmente, en realizad hay 5 o 6), con mayor fermentación, con más trigo, etc...

[La cerveza la conocías o la sacaste del otro post?]

La cerveza la conocías o la sacaste del otro post?

El del otro post soy yo así que no hay diferencia, la conocía, la conozco y la he catado un par de veces xD