Strona Główna
FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj  AlbumAlbum  DownloadDownload

Forum Hackers.com.pl Strona Główna » Webmaster » Porady » [PHP/MySQL] SQL Injection Poprzedni temat «» Następny temat
[PHP/MySQL] SQL Injection
Autor Wiadomość
anti-hack


Dołączył: 17 Cze 2006
Posty: 11
Skąd: Janów
Wysłany: Pon 19 Cze, 2006 6:34 pm   [PHP/MySQL] SQL Injection
Witam

W tym artykule przedstawian na czym polegaja luki SQL Injection (Z ang. zastrzyk, który polega na wstrzyknięciu złosliwego kodu MySQL do strony)


Przykład


$pytanie = mysql_query('SELECT id, nazwa FROM newsy WHERE id='.$id);

Zakładamy, że zmienna $id pobierasz z $_GET -a

normalny link:

http://www.strona.pl?page=news&id=1

i po zmianie adresu:

http://www.strona.pl?page=news&id=1; DELETE FROM newsy - co z tego wyniknie ? - usunięcie wszystkich newsów.

Zabezpieczenie?

- is_numeric();
- int

Dodawanie rekordów do bazy danych

Przy dodawaniu do MYSQL danych musimy pamiętać, aby przesłane informacje nie zawierały żadnego złosliwego kodu, dlatego używamy do tego takich gotowych funkcji:

- Dodawanie danych do MySQL:

htmlspecialchars(); (zmienia złosliwe znaki PHP na ich odpowiedniki z HTML -a)
strip_tags(); (usuwa kod php i mysql)
addslashes(); (dodaje / przy niebepiecznym kodzie php)


- Pobieranie danych z MySQL:

stripslashes();


To narazie tyle. Więcej nie chce mi się pisaćsmiley
Uwaga! Artykuł jest własnoscia forum hackers.com.pll i nie może byćwykorzystywany bez zgody jego autora
_________________
MySQL 4.0.15 | PHP 5 | Apache 1.3.28 | Windows XP SP2
 
 
Admin
Site Admin


Dołączył: 26 Maj 2006
Posty: 124
Wysłany: Pią 07 Lip, 2006 10:51 am   
Podoba mi sie 8)
Więcej takich postów.
 
 
 
Neo


Dołączył: 31 Lip 2006
Posty: 111
Skąd: Bydgoszcz
Wysłany: Pon 31 Lip, 2006 4:28 pm   
brawo :mrgreen: tylko.. wytłumacz mi to dokładniej?? bo ja taki młotek... :D :mrgreen:
_________________
Smutek jest drzewem, a jego owocami sa łzy... ;( =(
 
 
 
Admin
Site Admin


Dołączył: 26 Maj 2006
Posty: 124
Wysłany: Pon 31 Lip, 2006 7:20 pm   
:D :D
Jak widzisz programowanie nie jest łatwe.
żeby zrozumiećkod napisany przez:anti-hack musisz najpierw opanowaćpodstawy php.
Bez tego ani rusz 8)
 
 
 
Neo


Dołączył: 31 Lip 2006
Posty: 111
Skąd: Bydgoszcz
Wysłany: Pon 31 Lip, 2006 9:04 pm   
ehh... może mógłbysmi wyłumaczyćdział tablice superglobalne.. bo na tym zakończhłem swoja naukę....
_________________
Smutek jest drzewem, a jego owocami sa łzy... ;( =(
 
 
 
Admin
Site Admin


Dołączył: 26 Maj 2006
Posty: 124
Wysłany: Wto 01 Sie, 2006 9:09 am   
Hehe 8)
Ja bym Ci to tłumaczył sporo czasu, odsyłam zatem do krótkiego kursu: Adres: http://www.webdiary.pl/technologie+art.id+28.htm
 
 
 
Neo


Dołączył: 31 Lip 2006
Posty: 111
Skąd: Bydgoszcz
Wysłany: Wto 01 Sie, 2006 9:55 am   
czytałem.. nic nie rozumiem;d
_________________
Smutek jest drzewem, a jego owocami sa łzy... ;( =(
 
 
 
Admin
Site Admin


Dołączył: 26 Maj 2006
Posty: 124
Wysłany: Wto 01 Sie, 2006 10:50 am   
No to jak tego nie rozumiesz, to już chyba się niczego nie nauczysz :D
Poszukaj w sieci jakichskursów.
Dla chcacego nic trudnego. :lol:
Poprostu jak czegosnie rozumiesz czytaj drugi raz, potem trzeci, czwarty i w końcu pewnie zrozumiesz :wink:
 
 
 
Neo


Dołączył: 31 Lip 2006
Posty: 111
Skąd: Bydgoszcz
Wysłany: Wto 01 Sie, 2006 2:37 pm   
po 70 razach,,, :/ :P :D
_________________
Smutek jest drzewem, a jego owocami sa łzy... ;( =(
 
 
 
Admin
Site Admin


Dołączył: 26 Maj 2006
Posty: 124
Wysłany: Wto 01 Sie, 2006 4:11 pm   
Yyyy.
To weÂź sobie lepiej daj spokój z komputerami :D
 
 
 
Neo


Dołączył: 31 Lip 2006
Posty: 111
Skąd: Bydgoszcz
Wysłany: Wto 01 Sie, 2006 11:45 pm   
no ty wiesz co:D kulturalny prosiaczek :P
_________________
Smutek jest drzewem, a jego owocami sa łzy... ;( =(
 
 
 
Admin
Site Admin


Dołączył: 26 Maj 2006
Posty: 124
Wysłany: Sro 02 Sie, 2006 8:06 am   
Jaki prosiaczek??
Nie porównuj mnie do swini :mrgreen:
 
 
 
Neo


Dołączył: 31 Lip 2006
Posty: 111
Skąd: Bydgoszcz
Wysłany: Czw 03 Sie, 2006 9:49 am   
ja nie mówiłem KULURALNA sWINIA tylko kulturalny PROSIACZEK :)
_________________
Smutek jest drzewem, a jego owocami sa łzy... ;( =(
 
 
 
Admin
Site Admin


Dołączył: 26 Maj 2006
Posty: 124
Wysłany: Pią 04 Sie, 2006 4:05 pm   
A może nazwa "PROSIACZEK" to nie jest "sWINIA" ?? :mrgreen:
To przecież jest to samo...
Przykładowo słowo "DOM" a słowo "CHATA" obrazuje podobieństwo :mrgreen:
 
 
 
Neo


Dołączył: 31 Lip 2006
Posty: 111
Skąd: Bydgoszcz
Wysłany: Pon 21 Sie, 2006 9:43 am   
ehh no dobrze prosiaczku.. i tak sie nie zgadzam:D
_________________
Smutek jest drzewem, a jego owocami sa łzy... ;( =(
 
 
 
Wyświetl posty z ostatnich:   
Forum Hackers.com.pl Strona Główna » Webmaster » Porady » [PHP/MySQL] SQL Injection
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
 Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group
Theme phore v 0.2 created by Kisioł modified by pietrex
Strona wygenerowana w 0,08 sekundy. Zapytań do SQL: 8