forum.opennet.ru

Составление сообщения

Исходное сообщение

"Неосмотрительное использование плагина jQuery-File-Upload де..."
Отправлено уебмакак, 24-Окт-18 10:00

это чего это вот "файл"? Мы и круче умеем, учись, шкoльник:
                $strSql=
                        "SELECT ID, NAME, AGENT_INTERVAL, IS_PERIOD, MODULE_ID ".
                        "FROM b_agent ".
                        "WHERE ACTIVE='Y' ".
                        "       AND NEXT_EXEC<=now() ".
                        "       AND (DATE_CHECK IS NULL OR DATE_CHECK<=now()) ".
                        $str_crontab.
                        " ORDER BY SORT desc";
                $db_result_agents = $DB->Query($strSql);
[skip]
                        $eval_result = "";
                        eval("\$eval_result=".$arAgent["NAME"]);

(кто не понимает - весь прикол в том, что тут не должно лежать ничего, кроме заранее определенных функций, но парсить их имена и вызывать по ссылке, убедившись что вызываемое действительно существует - не, слишком сложно для обизяна - eval, даже без try, и всех делов! При попадании в таблицу мусора или троянского кода - сам понимаешь - и хрен его кто потом найдет)
завтра точно так же сложим в таблицу все что юзер навводил или ему навводили, и eval его.

Исходное сообщение
"Неосмотрительное использование плагина jQuery-File-Upload де..." Отправлено уебмакак, 24-Окт-18 10:00
это чего это вот "файл"? Мы и круче умеем, учись, шкoльник: $strSql= "SELECT ID, NAME, AGENT_INTERVAL, IS_PERIOD, MODULE_ID ". "FROM b_agent ". "WHERE ACTIVE='Y' ". " AND NEXT_EXEC<=now() ". " AND (DATE_CHECK IS NULL OR DATE_CHECK<=now()) ". $str_crontab. " ORDER BY SORT desc"; $db_result_agents = $DB->Query($strSql); [skip] $eval_result = ""; eval("\$eval_result=".$arAgent["NAME"]); (кто не понимает - весь прикол в том, что тут не должно лежать ничего, кроме заранее определенных функций, но парсить их имена и вызывать по ссылке, убедившись что вызываемое действительно существует - не, слишком сложно для обизяна - eval, даже без try, и всех делов! При попадании в таблицу мусора или троянского кода - сам понимаешь - и хрен его кто потом найдет) завтра точно так же сложим в таблицу все что юзер навводил или ему навводили, и eval его.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> это чего это вот "файл"? Мы и круче умеем, учись, шкoльник:

>             
>     $strSql= 
>             
>            
>  "SELECT ID, NAME, AGENT_INTERVAL, IS_PERIOD, MODULE_ID ".
>             
>            
>  "FROM b_agent ".
>             
>            
>  "WHERE ACTIVE='Y' ".
>             
>            
>  "       AND NEXT_EXEC<=now() ". 
 
>             
>            
>  "       AND (DATE_CHECK IS 
> NULL OR DATE_CHECK<=now()) ".
>             
>            
>  $str_crontab.
>             
>            
>  " ORDER BY SORT desc";

>             
>     $db_result_agents = $DB->Query($strSql); 
> [skip] 
>             
>            
>  $eval_result = ""; 
>             
>            
>  eval("\$eval_result=".$arAgent["NAME"]);

> (кто не понимает - весь прикол в том, что тут не должно 
> лежать ничего, кроме заранее определенных функций, но парсить их имена и 
> вызывать по ссылке, убедившись что вызываемое действительно существует - не, слишком 
> сложно для обизяна - eval, даже без try, и всех делов! 
> При попадании в таблицу мусора или троянского кода - сам понимаешь 
> - и хрен его кто потом найдет)

> завтра точно так же сложим в таблицу все что юзер навводил или 
> ему навводили, и eval его.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру