Analisando um pedaço do código, observei uma parte sem restrição de acesso nenhum e sem filtro nenhum para as entradas do usuário.
<?php$q=$_REQUEST['q'];$sql="select cep, logradouro, bairro, cidade as municipio, uf as estado
from vw_cep
where cep like '$q%'
and cidade = 'Natal'
and uf = 'RN'
limit 0,10";$resultado=execQuery($sql);$codigos="";while($row=mysql_fetch_array($resultado)){$codigos='"'.$row['cep'].'",';$nomes=.='"'.htmlentities($row['logradouro']).' . '.htmlentities($row['bairro']).', '.htmlentities($row['municipio']).'/'.$row['estado'].'",';}$codigos=substr($codigos,0,strlen($codigos)-1);$nomes=substr($nomes,0,strlen($nomes)-1);?>
showQueryDiv("<?phpecho$q;?>", new Array(<?phpecho$codigos;?>), new Array(<?phpecho$nomes;?>))
Como é possível ver, a variavel $q está recebendo um “$_REQUEST[‘q’]” e está passando para dentro de uma query sql sem nenhum tipo de verificação prévia.
Isso é um blind sql injection, então, você poderá perder bastante tempo com isso, o payload usado foi o seguinte: