Foro de elhacker.net

hola camaradas bueno como dice el titulo a cabo de subir mi pagina aun hosting gratuito esta pagina que acabo de hacer va ser una pagina de noticias me gustaria ver si le pueden encontrar algun fallo de programacion ami pagina ya que aun no la empiezo a ocupar esta en prueba y por eso me gustaria saber que fallos tiene para asi modificarlos  esta echa en php  y mi manejador de bd es mysql

¿Hola? ¿Y tu página?

jajajajajajaj upps tan emocionado que estaba que se me olvido poner la pagina :silbar: aki ta es esta

http://elangelopolitano.net16.net/

En el scroll de "lo + leido" me encontre con esto:


Esta es una version de pruba,pero cuando ya tengas la web final te recomiendo deshabilitar el reporte de errores de PHP por seguridad

Saludos

aok amigo pero como le isiste para encontrar eso me podrias explicar y claro que lo voy areglar no me conviene dejarlo con esos fallos

En lo que te dijo unsigned
 ni idea de que signifique eso la verdad pero yo lo encontre abriendo el codigo fuente de tu pagina y despues casi al final esta eso que te puso el dale control + F y en la barrita que se abre ponle warning y listo te llevara donde esta eso y pues si sale en la ventana de "lo + leido"  XD. salu2

aok ya lo vi muchas gracias, ahora me surgio una duda por ejemplo tengo este error de programacion si yo no lo corrigo que podria pasar? me dan un ejmplo

Algo que a veces no tiene importancia es:
http://elangelopolitano.net16.net/internacional2.php?sección=

Si le pones un switch, es decir:

<?php
$mod = $_GET['sección'];
switch($mod){
case "nacional":
//
break;
 
case "internacional":
//
break;
 
default;
echo "No existe la sección";
}
?>
 

Sería mejor, es un comentario nada mas, saludos.

aok mi amigo tratare de coregir esa parte muchas gracias

Tambien aca:

http://elangelopolitano.net16.net/index.php?error=yes

En tu archivo consulta.php deberia tirar el error y no por la URL, esto dependiendo de tu código puede ser explotado, te recomiendo que sea algo asi:

<?
$check = mysql_query("SELECT * FROM users WHERE user='".mysql_escape_string($user)."' AND pass='".mysql_escape_string($pass)."' ");
if ($check1 = mysql_fetch_object($check)){
echo "Correcto!";
}else{
echo "Datos incorrectos";
}
?>
 

Es decir, mostrar el error en el mismo archivo que procesa, saludos.
-----
Edito:

Aca: http://elangelopolitano.net16.net/leer.php?id=8

Si no existe la noticia o el ID no te tira error, te recomiendo que sea algo asi:

<?
$id = strip_tags($_GET['id']);
$check = mysql_query("SELECT * FROM news WHERE id='".mysql_escape_string($id)."' ");
if ($check1 = mysql_fetch_object($check)){
echo "MUESTRAS NOTICIA";
}else{
echo "No existe la noticia";
}
?>
 

Saludos.

Full Path Disclosure jejejejajajajajajajajajaja
http://elangelopolitano.net16.net/noticiero.php?noticia=8

Blind SQL injection
http://elangelopolitano.net16.net/noticiero.php?noticia=8%20and%201=1

oie amigo me podrias decir que es lo que estas haciendo en donde dicesBlind SQL injection  podrias explicarme ? porfavor
jaja porcierto alguien movio un codigo en mi pagina j :-[ en la parte de lo mas leido ya que ahora me marca error  :-\ no me molesta por eso les pedi que me ayudaran a nalizarla , lo weno que tengo una copia de eyo pero me gustaria saber como le isieron me podrian explicar  para que no vuelva aocurrir lo mismo de antemano gracias

Pues yo no le veo esos fallos, saludos.

me podrian decir como le isieron para que marcara error en la parte de lo mas leidoo porfavor para corregir ese apartado