Как я могу исправить хакеры, эксплуатируя модуль Prestashop 1.6 [дублировать] ⇐ MySql

[Anonymous]

Хакер может использовать мой модуль, изготовленный фрилансером, я пытаюсь исправить модуль ...
Я пытаюсь исправить модуль с кодом без ускорения инъекции SQL. Код такой:
Если я использую функцию psql или bqsql , их функция не является ecsping questection. /> Это код небезопасного оператора < /p>
$sql = 'SELECT * FROM `'._DB_PREFIX_.'module_name` where active = 1 and id_customer = '.bqSQL($id_customer). ' and id_shop = '.$id_shop;

$rows = Db::getInstance()->executeS($sql);

if(!empty($rows)){

$row1 = array();
$sql1 = 'SELECT * FROM `'._DB_PREFIX_.'module_name` where active = 1 and number = "'.bqSQL($rows[0]['number']).'"';
$row1 = Db::getInstance()->executeS($sql1);
}
< /code>
Если я вставляю этот текст в свой ввод модуля, доступный клиентом:
jud3v "; вставьте в sqlmapoutput (data) values ​​('jud3v_digital');#
jud3v_digit /> Это оператор SQL, сделанный Hacker: < /p>
477145 Query SELECT * FROM `ps_magcatreserve_numbers` where number = "941020";INSERT INTO ps_cart_rule ( active, code, description, date_from, date_to, date_add, date_upd, reduction_percent, reduction_currency, reduction_tax, reduction_product, quantity, quantity_per_user, minimum_amount, minimum_amount_currency, minimum_amount_tax, minimum_amount_shipping, free_shipping, highlight, partial_use, priority, shop_restriction, carrier_restriction, cart_rule_restriction, country_restriction, group_restriction, product_restriction, id_customer ) VALUES ( 1, 0x50524f4d4f3939, 0x50726f6d6f74696f6e206465202d3939252073616e73207265737472696374696f6e, NOW(), DATE_ADD(NOW(), INTERVAL 1 YEAR), NOW(), NOW(), 99.00, 1, 1, 0, 1000000, 1000000, 0.00, 1, 0, 0, 0, 1, 1, 1, 0, 0, 0, 0, 0, 0, 0 )#" and id_customer =
477145 Query SELECT * FROM `ps_magcatreserve` where active = 1 and number = "941020";INSERT INTO ps_cart_rule ( active, code, description, date_from, date_to, date_add, date_upd, reduction_percent, reduction_currency, reduction_tax, reduction_product, quantity, quantity_per_user, minimum_amount, minimum_amount_currency, minimum_amount_tax, minimum_amount_shipping, free_shipping, highlight, partial_use, priority, shop_restriction, carrier_restriction, cart_rule_restriction, country_restriction, group_restriction, product_restriction, id_customer ) VALUES ( 1, 0x50524f4d4f3939, 0x50726f6d6f74696f6e206465202d3939252073616e73207265737472696374696f6e, NOW(), DATE_ADD(NOW(), INTERVAL 1 YEAR), NOW(), NOW(), 99.00, 1, 1, 0, 1000000, 1000000, 0.00, 1, 0, 0, 0, 1, 1, 1, 0, 0, 0, 0, 0, 0, 0 )#"
< /code>
Хакер может обновить адрес электронной почты, соответствующий клиенту, сбросить пароль, панель администратора доступа, удалить весь мой веб -сайт (вещь, сделанная вчера вечером с помощью + 170 Multi Shop), выполненный бесплатный заказ, база данных Drop; < /p>
У меня сейчас есть сейчас: < /p>

Удалить разрушительную функцию PHP < /li>
< /ul>
Я пытаюсь исправить код, но с моим тестом я не могу сделать заявление против SQL -инъекции, как я могу это выполнить?>

Подробнее здесь: https://stackoverflow.com/questions/797 ... 1-6-module