| Autor | Zpráva | ||
|---|---|---|---|
| VIPatrikPK Profil |
#1 · Zasláno: 8. 1. 2012, 18:05:35 · Upravil/a: VIPatrikPK
Ahoj mám otázku toto bezpečné ?
index.php <html>
<head>
<title>JailCraft.sk - iConomy štatistiky</title>
<meta http-equiv="content-type" content="text/html; charset=windows-1250">
<meta name="description" content="JailCraft - iConomy štatistiky"/>
<meta name="keywords" content="'jailcraft''iconomy''stats'"/>
<link rel="stylesheet" href="css.css" media="screen" />
<link rel="icon" href="favicon.ico" type="image/ico" />
</head>
<body>
<div class=warper>
<table>
<tr><th> Poradie </th><th> Meno hráča </th><th> Stav účtu </th></tr>
<?php
include("config.php");
$i=1;
$dotaz="SELECT username,balance FROM iConomy ORDER BY balance DESC";
$vysledek = MySQL_Query($dotaz);
while ($zaznam = MySQL_Fetch_Array($vysledek)){
$meno=$zaznam["username"];
$peniaze=$zaznam["balance"];
if ($c == 0){ print '<tr class="tmava"><td class="poradi">'.$i.'</td><td>'.$meno.'</td><td class="castka">'.$peniaze.'<img src="images/mena.png"></td></tr>'; $c++; }
else { print '<tr class="svetla"><td class="poradi">'.$i.'</td><td>'.$meno.'</td><td class="castka">'.$peniaze.'<img src="images/mena.png"></td></tr>'; $c--; }
$i++; }
MySQL_Close($con);
?>
</table>
</div>
<body>
</html>a config.php <?php
$config = array( "hostitel" => "176.31.253.51" , "databaze" => "mc157" , "uzivatel" => "mc157" , "heslo" => "" , );
$con = mysql_connect($config["hostitel"], $config["uzivatel"], $config["heslo"]);
mysql_select_db($config["databaze"], $con);
if (!$con)
return error("Nepodarilo se pripojit k databazi");
?>je tento prístup do databázie bezpečný ? |
||
| Alphard Profil |
#2 · Zasláno: 8. 1. 2012, 18:20:12
Zdá se být bezproblémový. SQL injection hrozí při práci s neošetřenými vstupy. Vy máte sql dotaz statický, takže ho není jak napadnout.
|
||
| VIPatrikPK Profil |
#3 · Zasláno: 8. 1. 2012, 18:28:54
Takže je to 100% bezpečné ?
|
||
| Majkl578 Profil |
#4 · Zasláno: 8. 1. 2012, 18:43:57 · Upravil/a: Majkl578
Obecně je, jen proměnná
$c není nikde inicializovaná. To povede k opakovanému E_NOTICE a při povoleném register_globals (což je sice málo pravděpodobné) k potencionálnímu podvržení výchozí hodnoty.
|
||
| Alphard Profil |
#5 · Zasláno: 8. 1. 2012, 18:43:59
Z pohledu dotazu na 18. řádku ano. Jestli nemáte někde v aplikaci díru, která umožní vypsat přihlašovací údaje nebo nějco jiného je druhá věc.
|
||
| panther Profil |
VIPatrikPK:
tento uvedený kód (SQL dotaz, o kterém předpokládám, že se bavíme) bezpečný je - nepracuješ s daty od uživatele, ale jen s těmi, které staticky dosadíš do dotazu. Na tom není co ošetřovat. |
||
| VIPatrikPK Profil |
#7 · Zasláno: 8. 1. 2012, 19:01:05 · Upravil/a: VIPatrikPK
|
||
| martinR Profil * |
#8 · Zasláno: 8. 1. 2012, 20:18:50
VIPatrikPK:
Hláška je jasná .. špatně nakonfigurovaný přístup do databáze Warning: mysql_connect(): Can't connect to MySQL server on '176.31.253.51' (111) |
||
|
Časová prodleva: 14 let
|
|||
0