Autor Zpráva
krteczek
Profil
Dobrý den, napsal jsem si vyhledávací skript, bohužel mi při pokusu o sql injection databáze hlásí chybu... potreboval bych popostrčit směrem který by z nebezpečného řetězce udělal bezpečný.
text před použitím proháním fci htmlspecialchars(), addslashes();

takhle vypadá výpis po jednom z útoků:
select seonazov,nazov from KRS_1_clanky where ( (nazov like '%all_your_base%') OR (uvodnik like '%are_belong_to_us%'));); exec("cat /etc/passwd");/*%') OR (uvodnik like '%all_your_base%') OR (uvodnik like '%are_belong_to_us%'));); exec("cat /etc/passwd");/*%'%') OR (uvodnik like '%all_your_base%') OR (uvodnik like '%are_belong_to_us%'));); exec("cat /etc/passwd");/*%') OR (uvodnik like '%all_your_base%') OR (uvodnik like '%are_belong_to_us%'));); exec("cat /etc/passwd");/*%'%')) and zobrazovat='1'

co s tím?
krteczek
Anonymní
Profil *
nestacilo by kontrolovat vstup na obsah dvojtecky? pripadne ju nak... konvertovat?
je mozne taktiez zakazat v php.ini nejake nebezpecne funkcie... napr exec
krteczek
Profil
predpokládám že na 90% hostingu je exec zakázaný,
jde mi o to aby při vložení jakéhokoliv dotazu nedošlo k chybě, zatím docházi :-(
projekt je zde: http://krs.jaknato.com/
krteczek
Profil
heh tak už jsem na to přišel... jsem ve starší verzi zapoměl na to addslashes():-(
krteczek
Peta
Profil *
Chci si taky udělat svůj redakční systém.... přemejšlel sem nad jménem....... a teď už vím..... PRS :)
Toto téma je uzamčeno. Odpověď nelze zaslat.