SQL инъекция - лечится ли редиректом?

[natasha]

У меня есть сайт - портал трудоустройства. Ссылки не продает, весь белый и пушистый. Сделан действительно для людей, так как когда в кадрах работала, знала, что очень мало хороших сайтов с бесплатным размещением вакансий. Сделан он на покупном движке от товарища nevius.
Мне прислали письмо - типа БАГ на вашем сайте. Кто прислал и зачем - остается загадкой. Но там сказано - вот по такой-то ссылке видны все ваши пользователи (логин - пароль).
Я попросила своего прогера посмотреть. он говорит - это какая-то sql инъекция. И сделал редирект с этого адреса на морду.
Но! Мой интеллект не дает мне покоя - разве это решение проблемы? Разве не могут быть еще какие-то такие адреса страниц, где будет то же самое выводиться?
Гуру, дайте совет - как с этим бороться, а то мне кажется, что меня обманывают и просто не хотят заморачиваться.

[freefess]

Это не решение проблемы а херня какая-то. Пните своего прогера - пусть нормальную фильтрацию запросов сделает.

[natasha]

freefess, что конкретно ему сказать? Сделай фильтрацию запросов? Я щас не могу все четко контролировать, поэтому все расслабляются. Решили проблему так, чтобы я больше не доставала. Я читаю, что это такое и то, что я читаю наводит меня на мысль, что сделано что-то неправильно. Что конкретно я должна ему сказать? Вот что меня интересует. Как сложно это сделать, какую премию ему пообещать?

[gun]

Цитата:

Сообщение от natasha

какую премию ему пообещать?

Если на з/плате, то наоборот - штрафануть. Так дела не делаются.

[freefess]

Сделать - не очень сложно. Материала по защите от sql инъекций в сети навалом. Если хотите - давайте в привате подробнее распишу.

Добавлено через 1 минуту
И да, какая премия? Прогер обязан делать защиту от инъекций и обязан дырки латать нормально, а не редиректом))

[Vektor'ok]

Цитата:

Сообщение от natasha

Что конкретно я должна ему сказать?

Я так думаю, register_globals выключен, проверить это, если включен выключить и переписать так, чтобы данные брались из $GET и $POST. Все переменные с входящими данными фильтровать, например, есть переменная $user, в которой могут быть только буквы и цифры, вот сделать фильтр, который проверяет наличие других символов, если они присутствуют, то выдавать ошибку или редиректить на 404 и так со всеми этими переменными.

[natasha]

gun, у него оклад 15 тыр. остальное - % с создания сайтов. в оклад входит работа над сайтом фирмы. А этот сайт - мой личный. И никакого отношения к фирме не имеет. Я могу либо попросить, либо оплатить. Попросила - решил проблему редиректом. Могу попросить другого, но не хочу весь отдел ставить в известность. Этот на особых условиях. Поэтому готова ему оплатить, только не знаю, насколько это сложно и что именно его попросить. Он работает по типу - дай задачу, сделаю. А я задачу не могу сформулировать. По сумме я планирую уложиться от 5 до 10 тыр. Но его обижать нельзя, поэтому и хочу мнения именно программистов услышать.
Я его понимаю - на нем сложный проект и он просто не хочет личное время тратить, чтобы разбираться в моих проблемах. Хочу деталей: сколько это стоит и что конкретно ему сказать сделать? Я с ним пока не обсуждала своих опасений по поводу того, что он неправильно решил эту проблему.

[zhegloff]

natasha, не видя кода трудно сказать, что конкретно нужно сделать

Добавлено через 15 секунд
и тем более, сколько єто может стоить.

[a112]

Цитата:

Сообщение от natasha

вот по такой-то ссылке видны все ваши пользователи (логин - пароль)

Логин и пароль? Вы пароли не хешируете чтоль? Думаю что там всёаки Логин и хеш пароля. Хеш пароля, в принципе, ничего злоумышленнику не даёт, так что "дыра" вовсе не "дыра", а так - некритический недосмотр разрабов имхо, который не влечёт ничего серьёзного.
ЗЫ. Яндекс у всех не пашет?

[natasha]

zhegloff, я не хочу никому светить сайт. могу засвеить аналог На этом движке много сайтов сделано по трудоустройству. Но есть же максимум? Я готова заплатить максимум. Мне этот сайт очень важен, так как меня кадровики по всей стране знают, и знают, что я его владелец. Я до сих пор посещаю все кадровые менеджменты и прочие фигни, связанные с рекрутингом. Оттуда беру много клиентов - меня лично знают. И облажаться мне нельзя - не имею права. А у рекрутеров свои заморочки - они перестанут доверять и размещаться, и мне заодно.
А в перспективе я хочу опять кадрами заниматься, так как не гоже это с мужем одним делом заниматься.

Добавлено через 3 минуты
a112, да я попробовала - все заходится по паролю и логину. Мне муж сказал - мы тебе переделаем весь сайт - напишем на нашем движке. Но я то знаю, сколько это займет по времени. Я же написала - движок покупала.
Дизайн к нему еле прикрутили. Все аналогичные сайты просто страшные, а мой - красавец. Сразу и не поймешь, что на этом движке построен.