Jump to content
  • Please do not post a message for the purpose of insulting, incitement to hatred, sexual remarks and any other which does not respect our terms of use !

Fixe - Faille BobbaLiveCMS


Monde

Recommended Posts

Bonjour à tous.

 

 

Ce sujet s'adresse à ceux qui utilise l'ancien CMS de Bobbalive recopier par @Nico j'ai trouvé une failles SQL dans la page news.php, je l'ai donc fixé et je vous repartage la page news.php

 

Lien de téléchargement: 

To access this link, please log in.

 

Scan: 

To access this link, please log in.

 

 

Voilà

Link to post
Share on other sites

Merci mon ami pour ce fixe :D

Besoin d'une ressource pour ton rétro ? Un CMS ? Un Addon ? 

 

1490721717-ch.png

 

Besoin d'une base de donnée pour ton rétro ? Un dédipass une base de donnée pendant 4 mois !

Alors rejoins moi vite sur http://comahost.com

https://www.facebook.com/comahost/

 

1490976330-capture-d-ecran-2017-03-31-a-

 

Les crocodiles en force !

 

crocnhammocks.png

Link to post
Share on other sites

Salut, @Monde

En enlevant sa variable $id pour récupérer le GET, tu as rendu son système de commentaires impossible puisqu'il récupérait l'id de l'article avec sa variable.

Tu aurais du laisser la variable qui récupérer le GET et mettre la variable dans ta requête préparée.

Après faudrait le précisé que les personnes rajoute ou qu'il modifie la ligne correspondante dans les requêtes préparée des commentaires pour laisser fonctionnel le système de commentaire.

Edited by Jrock
Link to post
Share on other sites

Il y a 3 heures, Jrock a dit :

Salut, @Monde

En enlevant sa variable $id pour récupérer le GET, tu as rendu son système de commentaires impossible puisqu'il récupérait l'id de l'article avec sa variable.

Tu aurais du laisser la variable qui récupérer le GET et mettre la variable dans ta requête préparée.

Après faudrait le précisé que les personnes rajoute ou qu'il modifie la ligne correspondante dans les requêtes préparée des commentaires pour laisser fonctionnel le système de commentaire.

Je sais, j'ai rectifier ça, je repartargerais.

 

Il y a 3 heures, Runyard a dit :

Meeeeeerci :D

De rien ^^

Link to post
Share on other sites

il y a 20 minutes, Brandon a dit :

Je pense avoir corrigé le problème ainsi que les requêtes, je ne peu pas testé car je n'ai pas le CMS donc si quelqu'un veut bien confirmé que cela fonctionne :

To access this link, please log in.



Merci :) 

Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

 

 

$id = Secu($_GET['id']);
    $sqle = $bdd->prepare('SELECT * FROM `bt_news` WHERE id = ?');
    $n = $sqle->fetch(PDO::FETCH_ASSOC);

 

 

Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

Link to post
Share on other sites

à l’instant, Monde a dit :

Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

 

$id = Secu($_GET['id']);
    $sqle = $bdd->prepare('SELECT * FROM `bl_news` WHERE id = ?');
    $n = $sqle->fetch(PDO::FETCH_ASSOC);

 

 

Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

Link to post
Share on other sites

il y a 3 minutes, Monde a dit :

Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

 

 

$id = Secu($_GET['id']);
    $sqle = $bdd->prepare('SELECT * FROM `bt_news` WHERE id = ?');
    $n = $sqle->fetch(PDO::FETCH_ASSOC);

 

 

Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

Pas de soucis ^_^

Mais c'est :
$id = Secu($_GET['id']);  
 $sqle = $bdd->prepare('SELECT * FROM `bt_news` WHERE id = ?'); 
$sqle->execute(array($id));   
$n = $sqle->fetch(PDO::FETCH_ASSOC);


 

Link to post
Share on other sites

Meerci :) 

                                                                                                             sgrl.gif

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...