| Autor | Zpráva | ||
|---|---|---|---|
| krteczek Profil |
#1 · Zasláno: 19. 9. 2006, 08:07:37
Dobrý den, napsal jsem si vyhledávací skript, bohužel mi při pokusu o sql injection databáze hlásí chybu... potreboval bych popostrčit směrem který by z nebezpečného řetězce udělal bezpečný.
text před použitím proháním fci htmlspecialchars(), addslashes(); takhle vypadá výpis po jednom z útoků: select seonazov,nazov from KRS_1_clanky where ( (nazov like '%all_your_base%') OR (uvodnik like '%are_belong_to_us%'));); exec("cat /etc/passwd");/*%') OR (uvodnik like '%all_your_base%') OR (uvodnik like '%are_belong_to_us%'));); exec("cat /etc/passwd");/*%'%') OR (uvodnik like '%all_your_base%') OR (uvodnik like '%are_belong_to_us%'));); exec("cat /etc/passwd");/*%') OR (uvodnik like '%all_your_base%') OR (uvodnik like '%are_belong_to_us%'));); exec("cat /etc/passwd");/*%'%')) and zobrazovat='1' co s tím? krteczek |
||
| Anonymní Profil * |
#2 · Zasláno: 19. 9. 2006, 09:09:02
nestacilo by kontrolovat vstup na obsah dvojtecky? pripadne ju nak... konvertovat?
je mozne taktiez zakazat v php.ini nejake nebezpecne funkcie... napr exec |
||
| krteczek Profil |
#3 · Zasláno: 19. 9. 2006, 12:06:00
predpokládám že na 90% hostingu je exec zakázaný,
jde mi o to aby při vložení jakéhokoliv dotazu nedošlo k chybě, zatím docházi :-( projekt je zde: http://krs.jaknato.com/ |
||
| krteczek Profil |
#4 · Zasláno: 19. 9. 2006, 12:37:33
heh tak už jsem na to přišel... jsem ve starší verzi zapoměl na to addslashes():-(
krteczek |
||
|
Časová prodleva: 5 měsíců
|
|||
| Peta Profil * |
#5 · Zasláno: 23. 2. 2007, 16:26:18
Chci si taky udělat svůj redakční systém.... přemejšlel sem nad jménem....... a teď už vím..... PRS :)
|
||
|
Časová prodleva: 17 let
|
|||
Toto téma je uzamčeno. Odpověď nelze zaslat.
0