Запросом в $_REQUEST['stat_info'] можно послать что угодно.
Итого: SQL-injection, XSS.
P.S. XSS конечно в 32 байта надо постараться (`uid` varchar(32) NOT NULL). Но за счет намеренно кривого запроса и вывода об этом ошибки админу — только в путь.
Месяца 4 на нем ЛС уже стоит. Вообще там разместились только по тому, что у друга год хостинга был оплачен… и он пустовал. Вырастет нагрузка — перейдем на VPS от hc.ru. Один проект 9 месяцев на нем — полет нормальный.
Была такая идея пару лет назад=) Сделать сайт аля башорг, только присылать смешные истории по MMS (фото, видео). Где-то на западе даже видел аналог) В общем реализовать это можно через email. Т.к. ММС можно спокойно послать на мыло. Остается только парсить по крону электронный ящик. И добавлять сообщения.
Запросом в $_REQUEST['stat_info'] можно послать что угодно.
Итого: SQL-injection, XSS.
P.S. XSS конечно в 32 байта надо постараться (`uid` varchar(32) NOT NULL). Но за счет намеренно кривого запроса и вывода об этом ошибки админу — только в путь.
И т.д.
Юзай плейсхолдеры и жить станет легче;)
В прошлом году написал мини плагин для smarty и везде его использую:
закидывается в smarty\plugins\function.fckeditor.php
И потом в шаблоне просто:
Также есть параметры ToolbarSet=«Имя тулбара», Width и Height. Можно было сделать больше, но мне этого хватало.
В нашем случае для ЛС вместо
Можно было бы вставить
И все:)
как-то в скрипте оказался)) вот посмотрите сами:
Т.к. там у вас title, а в теге с картинкой option=«highslide»
Перед
Удалите ее