帮忙找BUG 本人用PHP做了个网站,因为是初学,所以安全方面的东西都不懂。网站的后台页面代码都很简单,基本上都是从网上找的,后台功能也只有增删改,现在最怕的就是怕别人注入啊挂马之类的。这是网站网址 http://www.7tshare.com 如果哪位高手能发现有什么漏洞之类的,请一定要告诉我怎么防范啊。还有如果能顺利的进入到后台,请千万不要改里面的数据啊,我添加的很辛苦的。如果发现有什么能完善的地方,小弟万分感谢! 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 谢谢支持 我是搞网站前端的 对后台语言一点也不懂 PHP代码也是从网上找的 那个灯箱的效果很好,ajax做的,让人感觉很舒服 播放器是基于jquery的jquery.jplayer.js这个是外国人写的 请问楼主这个metroUI是你自己纯手写的么 发现一个,不是安全上的,首页右下侧的那个美女点开后,就没有关闭按钮了,没办法返回,只能刷新了,我的环境是xp+ie8 想找什么bug的话,必须贴出你的源代码之类的信息.另外你这个网站如何涉嫌到商业上的经营的话,肯定有版权的问题.如果只是学习交流用的还是贴源代码吧. 这是登录验证<?php session_start(); //注销登录if($_GET['action'] == "logout"){unset($_SESSION['userid']);unset($_SESSION['username']);header("Location:login.html");exit;}//登录if(!isset($_POST['submit'])){exit('非法访问!');}$ad_user = htmlspecialchars($_POST['ad_user']);$ad_pass = MD5($_POST['ad_pass']);//数据库连接include('conn.php');//检测用户名及密码是否正确$check_query = mysql_query("select adminid from Admin where ad_user='$ad_user' and ad_pass='$ad_pass' limit 1");if($result = mysql_fetch_array($check_query)){//登录成功$_SESSION['username'] = $ad_user;$_SESSION['userid'] = $result['adminid'];header("Location:index.php");die('Could not connect: ' . mysql_error());exit;} else {header("Location:login.html");}mysql_close($con)?>这是看有没登录<?php session_start(); ?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html"; charset="utf-8" /><title></title><link href="css/admin_dig.css" rel="stylesheet" type="text/css" /><link href="css/common.css" rel="stylesheet" type="text/css" /></head><body><?phpif(!isset($_SESSION['userid'])){ header("Location:login.html"); exit();}?>后台就这些需要验证的 哥邪恶了,看MM图片时,发现前台 图片浏览有一个BUG: 图片过大,那么左右切换按钮就超保护屏幕外面了。 14寸宽屏用户情何以堪,? 反正我没找到办法翻页了,最后F11全屏,勉强可以按。 楼主你懂的。为了你站"安全"我做了些处理 安全方面得加强。user:7tshbrf_bdmin_liujibndhfng007pass:b94d604b5dd13f6b9970db8f4870db58date:2011-11-27 12:33:[email protected]_dbbdminbdminid,bd_usfr,bd_pbss,bd_dbtfFilmFilmID,fi_nbmf,fi_f_nbmf,fi_bgf,fi_doun,fi_dbtf,fi_lbng,fi_sub,fi_rfs,fi_sizf,fi_timf,fi_dirf,fi_dbst,fi_intro,fi_pid_100_80,fi_pid_380_320,fi_pid_400_480,fi_sdr_1,fi_sdr_2,fi_sdr_3,fi_dow_rmvb,fi_dow_720,fi_dow_1080,fi_dow_sizf,fi_indfx_show,fi_dbtfGbmfGbmfID,gb_nbmf,gb_f_nbmf,gb_dbtf,gb_lbng,gb_sizf,gb_dom,gb_bgf,gb_intro,gb_pid_100_80,gb_pid_380_320,gb_pid_400_480,gb_sdr_1,gb_sdr_2,gb_sdr_3,gb_dow,gb_dow_dvdpbtdh,gb_dow_spfbkpbtdh,gb_indfx_show,gb_dbtfMusidMusidID,mu_nbmf,mu_sing,mu_lbng,mu_bgf,mu_sizf,mu_dbtf,mu_timf,mu_pid_85_85,mu_dow,mu_indfx_show,mu_dbtf 谢谢 34楼的SQL注入测试 现在已经对网站加了一些验证和防止SQL注入的代码,欢迎各位继续对网站进行测试,但各位攻击的不要太过猛烈啊,昨天服务器被人恶意攻击,导致被管理员冻结了IP 24小时,到刚刚才能正常访问。。还有上面提到图片浏览的问题,我已经做了改善,现在看美女应该没问题啦! 谢谢各位啦! 请大侠给指导一下 /{([^\}\{\n]*)}/e 这个正则能匹配出什么? Warning: gzinflate() [function.gzinflate]: data error in问题 比较多的基础问题 php,有什么办法实现整站切换CSS呢? smarty 截取字符串 我试了很多方法,可我的链接页面还是不能正常显示:( 刚开始学fopen()就出错!怎么回事? 有没有可以得到脚本超时时间和服务器解译引擎的办法 每行输出固定列数 请问下Fusioncharts里的折线图,怎么在同一个图里画两根折现 php商品编号自动生成以及邮箱认证
session_start();
//注销登录
if($_GET['action'] == "logout"){
unset($_SESSION['userid']);
unset($_SESSION['username']);
header("Location:login.html");
exit;
}//登录
if(!isset($_POST['submit'])){
exit('非法访问!');
}
$ad_user = htmlspecialchars($_POST['ad_user']);
$ad_pass = MD5($_POST['ad_pass']);//数据库连接
include('conn.php');//检测用户名及密码是否正确
$check_query = mysql_query("select adminid from Admin where ad_user='$ad_user' and ad_pass='$ad_pass' limit 1");
if($result = mysql_fetch_array($check_query)){
//登录成功
$_SESSION['username'] = $ad_user;
$_SESSION['userid'] = $result['adminid'];
header("Location:index.php");
die('Could not connect: ' . mysql_error());
exit;
} else {
header("Location:login.html");
}mysql_close($con)
?>
这是看有没登录<?php
session_start(); ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html"; charset="utf-8" />
<title></title>
<link href="css/admin_dig.css" rel="stylesheet" type="text/css" />
<link href="css/common.css" rel="stylesheet" type="text/css" />
</head>
<body>
<?php
if(!isset($_SESSION['userid'])){
header("Location:login.html");
exit();
}
?>后台就这些需要验证的
安全方面得加强。
user:7tshbrf_bdmin_liujibndhfng007pass:b94d604b5dd13f6b9970db8f4870db58date:2011-11-27 12:33:[email protected]_db
bdmin
bdminid,bd_usfr,bd_pbss,bd_dbtfFilm
FilmID,fi_nbmf,fi_f_nbmf,fi_bgf,fi_doun,fi_dbtf,fi_lbng,fi_sub,fi_rfs,fi_sizf,fi_timf,fi_dirf,fi_dbst,fi_intro,fi_pid_100_80,fi_pid_380_320,fi_pid_400_480,fi_sdr_1,fi_sdr_2,fi_sdr_3,fi_dow_rmvb,fi_dow_720,fi_dow_1080,fi_dow_sizf,fi_indfx_show,fi_dbtf
Gbmf
GbmfID,gb_nbmf,gb_f_nbmf,gb_dbtf,gb_lbng,gb_sizf,gb_dom,gb_bgf,gb_intro,gb_pid_100_80,gb_pid_380_320,gb_pid_400_480,gb_sdr_1,gb_sdr_2,gb_sdr_3,gb_dow,gb_dow_dvdpbtdh,gb_dow_spfbkpbtdh,gb_indfx_show,gb_dbtf
Musid
MusidID,mu_nbmf,mu_sing,mu_lbng,mu_bgf,mu_sizf,mu_dbtf,mu_timf,mu_pid_85_85,mu_dow,mu_indfx_show,mu_dbtf