O Digart

Serwis digart.pl jest serwisem internetowym adresowanym do twórców sztuki cyfrowej , który obejmuje różnorodne dziedziny sztuki: od grafik, rysunków, poprzez fotografie, projekty stron internetowych, a skończywszy na poezji, prozie i innych obszaraqch sztuki. Serwis digart.pl umożliwia umieszczanie prac (graficznych oraz tekstowych) oraz ich prezentację na stronach serwisu.

Błędy

Dzisiejszej nocy miała miejsce premiera nowej wersji strony serwisu Digart. Jest on niemal już kultowy dla niektórych grafików (właśnie grafików, więc co ja tam robiłem? ;-)). Podczas przystosowywania serwisu do web dwa zerowych standardów ktoś zapewne przez przypadek popełnił kilka drobnych błędów. Jakich? spójrzcie poniżej.

Przykład

1. Link

Wpisanie zamiast nazwy użtkownika apostrofu, którego zadaniem jest zamknięcie niezabezpieczonego zapytania SQL skutkuje ukazaniem nam ładnego napisu:

MySQL err: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1  

Czyli mamy podłoże do SQL Injection, szkoda że nie ma nazw pól ;-)

2. Link

Sytuacja podobna do przedstawionej wyżej.

MySQL err: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1  

3. i 4.

Link

Odpowiedź

Dostałem dwa maile od dwóch adminów Digart z podziękowaniami.

Poprawki

Błędy związne z bazą danych zostały poprawione, jeśli chodzi o HTML Injection to dodane zostało zamienianie specjalnych znaków HTML na encje (nadal można wstrzyknąć swój napis).