[SQL Inj][DLE] Патч безопасности

Слышу звон, не зная где он. ТС, то что вы скопипастили хрен знает откуда не устраняет проблему, официальный патч вышел два месяца назад и здесь уже выкладывался, причём уязвимость актуальна только при включенном register_globals:

http://dle-news.ru/bags/v97/1538-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html

если бы было так - не выкладывал бы.

Звонов никаких не слышу - я в норме :)

Условия

register_globals on

magic_quotes_gpc off

если уж на то пошло :)

Во всяком случае, патчить Вас никто не заставляет.

 $db->query( "UPDATE " . USERPREFIX . "_users set hash='" . $hash . "', lastdate='{$_TIME}', logged_ip='" . $_IP . "' WHERE user_id='{$member_id['user_id']}'" ); 

Собственно, в некоторых случаях можно внедрить сторонний код в этот запрос.

P.S: спасибо за ссылку, но я её по рассылке получил давненько уже.

А что "не так" в патче, и "так" у вас?

Ну раз получили, зачем копипастить бояны?

на офф сайте это было в ноябре

$_TIME = time () + ($config['date_adjust'] * 60);

и никаких условий не нужно.

Хрен с ним с globals, но отключить gps это как ключи под ковриком оставить.

имхо, все зависит от того, как обрабатываются переменные внутри скрипта

Ничего что

Убрать то убрали, вот только смысл в этом какой? Теперь тоже самое только уже ручками придется делать. Имхо, тупизм.

Начиная с версии 5.3 много чего стали убирать, не сказать что это повод для гордости, в итоге большинство сидит на проверенном 5.2

Смысл в том, что это нужно делать в скриптах, и в тех случаях когда это нужно, а не на уровне php.

SEOCondition,

Попросил celsoft прокомментировать ваше первое сообщение. Привожу цитату того что мне ответили:

Данный комментарий находится на этой странице, внизу.

Значит все таки ошибки были, раз через час после моей просьбы на официальном сайте появилась новость http://dle-news.ru/bags/v97/1549-patchi-bezopasnosti-dlya-versii-97.html с патчем.

Спасибо за создание данной темы!