Mrkni na to teraz. Na SQL injection je to už zdá sa imúnne. Treba to ošetriť funkciou htmlspecialchars, pretože ak vložíš ako text menu alebo odkaz HTML kód rozbiješ to. Skús vložiť napríklad text <textarea>. Myslím, že je jasné kam tým mierim. Z pohľadu bezpečnosti to nie je až tak závažná diera, pretože menu je prístupné len cez admin, ale je dobré to aj napriek tumu blbuvzdorne zabezpečiť proti takýmto chybám.
Tiež mrkni na tento link:
/admin.php?akce=formular_presun&modul=tree_menu&id=53&nazev=Menu%204%3Cscript%3Ealert(document.cookie)%3C/script%3E
Proste všetko čo berieš z GET/POST a posielaš to na výstup cez echo treba ošetriť na HTML aby sa nedal spustiť kód ktorý by mohol ukradnúť admin session.
Celkem upraveno 3×. Poslední úprava pa3k v 11.04.2008 20:53.