Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
  • Please do not post a message for the purpose of insulting, incitement to hatred, sexual remarks and any other which does not respect our terms of use !
Sign in to follow this  
Monde

 addons Fixe - Faille BobbaLiveCMS

Recommended Posts

Donateur

Bonjour à tous.

 

 

Ce sujet s'adresse à ceux qui utilise l'ancien CMS de Bobbalive recopier par @Nico j'ai trouvé une failles SQL dans la page news.php, je l'ai donc fixé et je vous repartage la page news.php

 

Lien de téléchargement: 

Please login or register to see this link.

 

Scan: 

Please login or register to see this link.

 

 

Voilà

Share this post


Link to post
Share on other sites
Donateur

Share this post


Link to post
Share on other sites
Vétéran

Merci mon ami pour ce fixe :D

Share this post


Link to post
Share on other sites

Salut, @Monde

En enlevant sa variable $id pour récupérer le GET, tu as rendu son système de commentaires impossible puisqu'il récupérait l'id de l'article avec sa variable.

Tu aurais du laisser la variable qui récupérer le GET et mettre la variable dans ta requête préparée.

Après faudrait le précisé que les personnes rajoute ou qu'il modifie la ligne correspondante dans les requêtes préparée des commentaires pour laisser fonctionnel le système de commentaire.

Edited by Jrock

Share this post


Link to post
Share on other sites
Donateur
Il y a 3 heures, Jrock a dit :

Salut, @Monde

En enlevant sa variable $id pour récupérer le GET, tu as rendu son système de commentaires impossible puisqu'il récupérait l'id de l'article avec sa variable.

Tu aurais du laisser la variable qui récupérer le GET et mettre la variable dans ta requête préparée.

Après faudrait le précisé que les personnes rajoute ou qu'il modifie la ligne correspondante dans les requêtes préparée des commentaires pour laisser fonctionnel le système de commentaire.

Je sais, j'ai rectifier ça, je repartargerais.

 

Il y a 3 heures, Runyard a dit :

Meeeeeerci :D

De rien ^^

Share this post


Link to post
Share on other sites
Vétéran

Je pense avoir corrigé le problème ainsi que les requêtes, je ne peu pas testé car je n'ai pas le CMS donc si quelqu'un veut bien confirmé que cela fonctionne :

Please login or register to see this link.



Merci :) 

Share this post


Link to post
Share on other sites
Donateur
il y a 20 minutes, Brandon a dit :

Je pense avoir corrigé le problème ainsi que les requêtes, je ne peu pas testé car je n'ai pas le CMS donc si quelqu'un veut bien confirmé que cela fonctionne :

Please login or register to see this link.



Merci :) 

Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

 

 

$id = Secu($_GET['id']);
    $sqle = $bdd->prepare('SELECT * FROM `bt_news` WHERE id = ?');
    $n = $sqle->fetch(PDO::FETCH_ASSOC);

 

 

Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

Share this post


Link to post
Share on other sites
Donateur
à l’instant, Monde a dit :

Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

 

$id = Secu($_GET['id']);
    $sqle = $bdd->prepare('SELECT * FROM `bl_news` WHERE id = ?');
    $n = $sqle->fetch(PDO::FETCH_ASSOC);

 

 

Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

Share this post


Link to post
Share on other sites
Vétéran
il y a 3 minutes, Monde a dit :

Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

 

 

$id = Secu($_GET['id']);
    $sqle = $bdd->prepare('SELECT * FROM `bt_news` WHERE id = ?');
    $n = $sqle->fetch(PDO::FETCH_ASSOC);

 

 

Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

Pas de soucis ^_^

Mais c'est :
$id = Secu($_GET['id']);  
 $sqle = $bdd->prepare('SELECT * FROM `bt_news` WHERE id = ?'); 
$sqle->execute(array($id));   
$n = $sqle->fetch(PDO::FETCH_ASSOC);

Share this post


Link to post
Share on other sites
Donateur
Le 04/08/2017 à 10:50, Nico a dit :

Merci mon ami pour ce fixe :D:

De rien :p

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...