Posible inyeccion, pero no lo tengo claro

eversor · #1 (**permalink**) 04/02/2010, 15:12

Este codigo no se si es vulnerable, ya que me fije que el $_POST lo metí sin comprobacion, pero intente hacerme alguna inyecciones, pero no consegui nada, ese post, viene de una lista desplegable de html, sus valores son de texto, y se podria editar con el firebug, pero no consegui nada, alguien sabe porque?

Código PHP:

  doquery("UPDATE {{table}} SET 
            `email` = '$db_email', 
            `dpath` = '$_POST[dpath]', 
            `design` = '$design', 
            `noipcheck` = '$noipcheck', 
            `planet_sort` = '$SetSort', 
            `planet_sort_order` = '$SetOrder', 
            `spio_anz` = '$spio_anz', 
            `settings_tooltiptime` = '$settings_tooltiptime', 
            `settings_fleetactions` = '$settings_fleetactions', 
            `settings_allylogo` = '$settings_allylogo', 
            `settings_esp` = '$settings_esp', 
            `settings_wri` = '$settings_wri', 
            `settings_bud` = '$settings_bud', 
            `settings_mis` = '$settings_mis', 
            `settings_rep` = '$settings_rep', 
            `urlaubs_modus` = '$urlaubs_modus', 
            `db_deaktjava` = '$db_deaktjava' 
            WHERE `id` = '".$CurrentUser["id"]."' LIMIT 1", "users");