MODx shopkeeper посмотрите.. там и заказы можно принимать.
Или просто раздел со страничками создать.. картинки-описания..
Для вывода каталога можно Ditto использовать.
:) катят.. они в базу попадают..
А потом, при авторизации $_POST['login'] (экранированный, как положено) берётся для поиска юзера (в базе, с кавычкой.. юзер, естественно находится, если он там есть...), после чего этот $_POST['login'] проходит валидацию в Auth::test_token и уже дальше в "чистом виде" (т.е. без экранирования) попадает в функции..
А дальше.. дальше - хз.. может там ничего и нет..
А валидность берётся из базы, в которую попасть можно через регистрацию.. 🤪
Ждём главного телепата.. :) Ну или можете у самого исполнителя спросить.. Я больше к "не специально" склоняюсь..
Доработка, кстати, может и не пригодиться.. (как с Неуловимым Джо)
А так - формально, прокатывает регистрация с логином вроде
' OR 1 = 1 OR 1 = '1
А он чуть позже передаётся без экранирования.. (как уже отметил выше RedOK)
Возможно, там дальше и "нет ничего"..
Эта часть сообщения ТС-у адресована.. не нужно на свой счёт
🍻🍻
насчёт redirect.php line 19 - там чуть выше $_GET['id'] на is_numeric проверяется..
Но всё равно "некрасиво"
Да, я уже понял, что Вы не программист.. про инъекции написал.
Эм.. видимо, собственно объяснение я проглядел.. Можно "для особо одарённых" повторить?
p.s. Надеюсь, не будет принято на свой счёт.. Или принято, но, исключительно, в хорошем смысле :)
Не-не.. тут профессионал, ему код не нужен 😂 Он без исходников с теми же шансами ищет..
В целом скрипт более-менее понятный (ну не.. счас начнётся "да я бы в 100500 раз лучше написал") я к тому, что не прослеживается намерений "запутать"..
Проскакивают местами косячки - "чистый" $_GET в запросах к базе.. возможно, так задумано, а может "просто"..
Ставить-тестить не стал...
firebug в помощь..
Выкладывайте уже ваш код.. Мы его быстренько разберём 😂
Эм.. или мы друг друга не понимаем..
Даю адрес (URL т.е) без исходного кода.. даю гарантию 146%, что есть дыра-дырищща .. найдёте?
Потом тоже самое, но с исходником.. И расскажите, что "шансов не больше"
смотря какая страница.. если хитромудрый отчёт какой из 100500 строк - возможно и нормально..
А для "обычного сайта", "обычного посетителя", и поискового робота - многовато..
