Jump to content
  • Please do not post a message for the purpose of insulting, incitement to hatred, sexual remarks and any other which does not respect our terms of use !

 addons Fixe - Faille BobbaLiveCMS


Monde
 Share

Recommended Posts

Bonjour à tous.

 

 

Ce sujet s'adresse à ceux qui utilise l'ancien CMS de Bobbalive recopier par @Nico j'ai trouvé une failles SQL dans la page news.php, je l'ai donc fixé et je vous repartage la page news.php

 

Lien de téléchargement: 

Hidden Content

    Reply to this topic to see the hidden content.

 

Scan: 

Hidden Content

    Reply to this topic to see the hidden content.

 

 

Voilà

Link to comment
Share on other sites

Merci mon ami pour ce fixe :D

Besoin d'une ressource pour ton rétro ? Un CMS ? Un Addon ? 

 

1490721717-ch.png

 

Besoin d'une base de donnée pour ton rétro ? Un dédipass une base de donnée pendant 4 mois !

Alors rejoins moi vite sur http://comahost.com

https://www.facebook.com/comahost/

 

1490976330-capture-d-ecran-2017-03-31-a-

 

Les crocodiles en force !

 

crocnhammocks.png

Link to comment
Share on other sites

Salut, @Monde

En enlevant sa variable $id pour récupérer le GET, tu as rendu son système de commentaires impossible puisqu'il récupérait l'id de l'article avec sa variable.

Tu aurais du laisser la variable qui récupérer le GET et mettre la variable dans ta requête préparée.

Après faudrait le précisé que les personnes rajoute ou qu'il modifie la ligne correspondante dans les requêtes préparée des commentaires pour laisser fonctionnel le système de commentaire.

Edited by Jrock
Link to comment
Share on other sites

Il y a 3 heures, Jrock a dit :

Salut, @Monde

En enlevant sa variable $id pour récupérer le GET, tu as rendu son système de commentaires impossible puisqu'il récupérait l'id de l'article avec sa variable.

Tu aurais du laisser la variable qui récupérer le GET et mettre la variable dans ta requête préparée.

Après faudrait le précisé que les personnes rajoute ou qu'il modifie la ligne correspondante dans les requêtes préparée des commentaires pour laisser fonctionnel le système de commentaire.

Je sais, j'ai rectifier ça, je repartargerais.

 

Il y a 3 heures, Runyard a dit :

Meeeeeerci :D

De rien ^^

Link to comment
Share on other sites

Je pense avoir corrigé le problème ainsi que les requêtes, je ne peu pas testé car je n'ai pas le CMS donc si quelqu'un veut bien confirmé que cela fonctionne :

Hidden Content

    Reply to this topic to see the hidden content.


Merci :) 


 

Link to comment
Share on other sites

il y a 20 minutes, Brandon a dit :

Je pense avoir corrigé le problème ainsi que les requêtes, je ne peu pas testé car je n'ai pas le CMS donc si quelqu'un veut bien confirmé que cela fonctionne :

Hidden Content

    Reply to this topic to see the hidden content.


Merci :) 

Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

 

 

$id = Secu($_GET['id']);
    $sqle = $bdd->prepare('SELECT * FROM `bt_news` WHERE id = ?');
    $n = $sqle->fetch(PDO::FETCH_ASSOC);

 

 

Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

Link to comment
Share on other sites

à l’instant, Monde a dit :

Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

 

$id = Secu($_GET['id']);
    $sqle = $bdd->prepare('SELECT * FROM `bl_news` WHERE id = ?');
    $n = $sqle->fetch(PDO::FETCH_ASSOC);

 

 

Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

Link to comment
Share on other sites

il y a 3 minutes, Monde a dit :

Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

 

 

$id = Secu($_GET['id']);
    $sqle = $bdd->prepare('SELECT * FROM `bt_news` WHERE id = ?');
    $n = $sqle->fetch(PDO::FETCH_ASSOC);

 

 

Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

Pas de soucis ^_^

Mais c'est :
$id = Secu($_GET['id']);  
 $sqle = $bdd->prepare('SELECT * FROM `bt_news` WHERE id = ?'); 
$sqle->execute(array($id));   
$n = $sqle->fetch(PDO::FETCH_ASSOC);


 

Link to comment
Share on other sites

Meerci :) 

                                                                                                             sgrl.gif

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...