Спасибо пользователям, что иногда, очень редко, но тыкают меня в старые, забытые мной и богом, модули.
Сегодня подсказали дыру в modules/static.php
Как всегда, я старый маразматик, в этом на первый взгляд безобидном модуле забыл проверить $_GET на вшивость.
Вот новый вариант модуля. Всего-то надо вставить 2 раза (int) и дырка прикрыта.
Код:
<?php
if (isset($_GET['id']) and ((int)$_GET['id'] > 0))
{
$k_connect = mysql_connect($k_ip, $k_userdb, $k_pw);
mysql_select_db($k_db, $k_connect);
mysql_query("SET NAMES 'utf8'");
$res = mysql_query("SELECT * FROM `static` where `id` = " . (int)$_GET['id'] . " limit 1");
if (mysql_num_rows($res) > 0)
{
$nres = mysql_fetch_array($res);
echo '<table width="90%" border="0" cellspacing="0" cellpadding="5">';
echo '<tr><td align="left" class="NewsLogo">';
if ($nres['type'] == 2)
echo '<img src="images/no.png" align="absmiddle">';
elseif ($nres['type'] == 1)
echo '<img src="images/yes.png" align="absmiddle">';
else
echo '<img src="images/admin.png" align="absmiddle">';
echo '</td>';
echo '<td align="left" class="';
if ($nres['type'] == 2)
echo 'NewsTitleGM';
elseif ($nres['type'] == 1)
echo 'NewsTitlePlayer';
else
echo 'NewsTitleAll';
echo '">' . $nres['title'] . ' </td>';
echo '<td align="right" class="NewsDate">' . $nres['date'] . '</td>';
echo '</tr>';
echo '<tr><td colspan=3 class="NewsContent">' . $nres['text'] . '</td></tr>';
echo '</table>';
}
else
echo $txt['234'];
}
else
{
echo $txt['234'];
}
?>
извините меня, старого маразматика, за сию чудную дыру...
(видать пора на пенсию).
И огромное спасибо что подсказали.