Autor | Zpráva | ||
---|---|---|---|
JurkQo1 Profil |
#1 · Zasláno: 13. 7. 2012, 15:24:57
Dobrý deň, mám takýto script:
<?php if(isset($_POST['IDP'])){ $ID = $_POST['IDP']; $dbc = mysql_connect("127.0.0.1","root","") or die('Pripojenie k serveru zlyhalo!'); mysql_select_db("studiodirt", $dbc) or die('Nepodarilo sa označiť databázovú tabuľku!'); mysql_query("DELETE * FROM prispevky WHERE ID = '$ID'"); echo $ID; echo 'Příspěvek byl úspěšně odstraněn!'; echo ' <a href="../PrispevkyD.php">Zpět</a>'; } else { echo 'Ako si sa sem dostal?'; echo ' <a href="../PrispevkyD.php">Zpět</a>'; } ?> |
||
Medvídek Profil |
#2 · Zasláno: 13. 7. 2012, 15:28:15
JurkQo1:
Bez *, jen DELETE FROM |
||
Majkl578 Profil |
Oprav si bezpečnostní díru. Pokud ti někdo pošle takotovouto hodnotu:
1' OR '1'='1 , smaže ti to všechna data z tabulky. Použij explicitní přetypování na číslo nebo mysql_real_escape_string před vložením do SQL dotazu.
|
||
JurkQo1 Profil |
#4 · Zasláno: 13. 7. 2012, 15:33:49
diki ale ja sa moc v tom nevyznám nedal by si kód ako opraviť tu dieru?
|
||
Kajman Profil |
$ID = (int)$_POST['IDP']; Ale jestli tam nemáte i kontrolu přihlášení, tak to může někdo smazat všechno i tak, jen na to bude potřebovat více http požadavků. |
||
JurkQo1 Profil |
#6 · Zasláno: 14. 7. 2012, 11:38:31
mám tam kontrolu inač diki
|
||
Časová prodleva: 12 let
|
0