Serg_pnz

Serg_pnz
www.ponedelnikov.net
Рейтинг
140
Регистрация
05.03.2008
А.И. Микоян о рекламе
wladvlad:
Львович, вы хотите сказать что в брежневские времена в промышленных масштабах подделывали масло?
масло, которое стоило три пятьдесят за килограмм и его навалом было в любом магазине?
я вас правильно понял?

В масштабах магазина: кефир стоил дешевле развесной сметаны. Смекаете?

Serg_pnz добавил 25.10.2008 в 09:54

Львович, помница в Пензе двульники принимали автоматы с газировкой, а вот что наливали - не помню. Толи 2 стакана без газа, то ли один... Но какой-то смысл был кидать 2 коп.

Название ИП отличное от ФИО.

По поводу "Коперника"

Насколько помню в одном районе города не может быть двух ООО с одинаковым именем...

И если вы назоветесь Студия "Коперник" (ИП Иванов И.И.), а я приду и зарегистрирую ООО Студия "Коперник", то будет просто путанница (если клиенты пересекаются). Вот и всё неудобство.

Для ИП есть выход в создании какого-то товарищества (не помню точно и лень в кодекс лезть). Так вот товариществу можно будет дать официальное имя и в пределах одной налоговой второго такого точно не будет. Недостаток: нужно минимум 2 товарища (надо уточнить, может и одного хватит)) )

А.И. Микоян о рекламе

Еще из застойного:

"Экономика должна быть экономной"

Видел интервью с дядькой, придумавшим этот слоган, уже в постперестройку, он говорил: "Мне ничуть не стыдно, я до сих пор так считаю". И, помница, была целая серия этикеток спичечных коробков на эту тему.

Нужен текстовый online редактор.
ozerki:
ЧЕ?😡😡😡

То, что грамматику... ну хз как ты её проверишь, а правописание и FF нормально проверяет.

Нужен текстовый online редактор.

И спину что бы еще вареньем намазал (простите, не удержался)

Word...

хотелось бы получить Ваше резюме

Интересная штукенция, только у мну не показал тиц на банерах и если уж ссылка, то сделай что ли через таргет=бланк.

Завелся домовой....

Как правило, если появился домовой, то что-то дома не в порядке, даже элементарное мытье посуды давно заплесневевшей может помочь.

Завелся домовой....
Alex Klo:
Значит крыса... ларьков поблизости от дома нет? которые м.б. демонтировали? Или магазина?

Мусоропровода достаточно...

Нужен аудит скрипта
Т.е. админу можно оставлять SQL-инъекцию? Небрежности в коде не должно быть ни при каких оправданиях.

Понял, исправлюсь

Вообще кода немного, но вот стиль написания конечно

😕

Нужен аудит скрипта
Bor-ka:
Открыл первый попавшейся файл, взглянул на первый запрос: 
$db->sql_query("UPDATE  ".$prefix."_chat_users SET user_visit='".time()."', color = '#".$_GET['ncolor']."'  WHERE user_name = '".$_SESSION['usersm']['1']."' ");

Это закрыто тремя строками выше, просто не стал новую переменную заводить 

	$_GET['ncolor'] = preg_replace("#[^a-f0-9]#i", "", $_GET['ncolor']);

	str_pad($_GET['ncolor'], 6 , "0");
Bor-ka:
Полез посмотреть на метод sql_query 
function sql_query($query = "", $transaction = false) {

		unset($this->query_result);

		if ($query != "") {

			$tdba = explode(" ", microtime());

			$tdba = $tdba[1] + $tdba[0];

			$this->query_result = @mysql_query($query, $this->db_connect_id);

Красота, без фильтрации в базу. Дальше, я так понимаю, объяснять про SQL-инъекции не нужно?

UPD: Хотя сдается мне, что где-то все-таки этот GET фильтруется, но так неявно, что не поймешь - ошибка или нет. Во всяком случае потенциальная ошибка на лицо.

UPD2: По вышеприведенному коду идет разборка и запись в $_GET - моветон.

Ни фига не понял))

Bor-ka:
А вот здесь переопределение id не нашел :) 
require_once ("../mysql.php");

		$db->sql_query("UPDATE  ".$prefix."_chat_users SET timeout=timeout".$zap."  WHERE user_name = '".$_GET['id']."' ");

		$result = $db->sql_query("SELECT timeout  FROM ".$prefix."_chat_users WHERE user_name = '".$_GET['id']."'");

Это админская часть, к файлу доступ прикрыт в самом верху, поэтому такая небрежность в кодинге. 

if ($_SESSION['jcrc_admin']!=1) {echo "Убить мохнатую тварь!";die();}

Serg_pnz добавил 17.10.2008 в 10:18

Bor-ka, спасибо большое!

1 2345678910 ...25
Всего: 246