| Autor | Zpráva | ||
|---|---|---|---|
| Petr1234 Profil * |
#1 · Zasláno: 14. 9. 2007, 13:44:33
Cau,
jak mam ulozit, respektive v jake "forme" ma do MySQL databaze ulozit PHP kod, tak ze kdyz zaznam z databaze vypisu tak se ten PHP kod provede? Petr1234 |
||
| Joker Profil |
#2 · Zasláno: 14. 9. 2007, 14:01:05
Uloží se jako nějaký textový typ, PHP kód je vlastně normální text.
A potom by se asi z databáze uložil do řetězce a provedl pomocí eval() |
||
| Alphard Profil |
#3 · Zasláno: 14. 9. 2007, 14:02:21
jako text
při výpisu se použije funkce eval(); ale je to potencionálně velká bezpečnostní díra, ošetři možnost provedení nastrčeného kódu |
||
| Nox Profil |
#4 · Zasláno: 14. 9. 2007, 16:25:09
Pokud se přímo jen čte z databáze bez zadávání jakýchkoliv dat uživatelem nebo používání GETu tak je to bezpečné, ne?
|
||
| Joker Profil |
#5 · Zasláno: 14. 9. 2007, 16:36:29
Nox
Ale potenciální riziko to je vždycky. Pokud web ukládá do databáze i nějaké vstupy od uživatele, díra typu SQL injection může být smrtící. |
||
|
Časová prodleva: 17 let
|
|||
0