Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Closed TopicStart new topic
> SQL Injection
kangurmk
post
Post #1





Grupa: Zarejestrowani
Postów: 12
Pomógł: 0
Dołączył: 14.02.2006

Ostrzeżenie: (0%)
-----

Czy poniżasza funkcja jest odporna na ataki typu SQL Injection? Używam jej do sprawdzania loginu i hasła podczas logowania użytkownika.
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. function CheckPass($user, $haslo)
  4.   {
  5. 	if($user == '' || $haslo == '')
  6. 	  return false;
  7.  
  8. 	$zapytanie = "SELECT * FROM uzytkownicy WHERE uzytk_login='".$user."'";
  9. 	$result = mysql_query($zapytanie);
  10.  
  11. 	if(!$result)
  12. 	{ 
  13. 	  return false;
  14. 	}
  15. 	else
  16. 	{
  17. 	  $row = @mysql_fetch_assoc($result);
  18. 	  if($row['uzytk_aktywacja'] == 'tak')
  19. 	  {
  20. 		if($haslo == $row['uzytk_haslo'])
  21. 		{
  22. 		  return true;
  23. 		}
  24. 		else
  25. 		{
  26. 		  return false;
  27. 		}
  28. 	  }
  29. 	  else
  30. 	  {
  31. 		 return false;
  32. 	  }
  33. 	}
  34.   }
  35.  
  36. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post
Ozzy
post
Post #2





Grupa: Zarejestrowani
Postów: 204
Pomógł: 0
Dołączył: 26.12.2003
Skąd: Rzeszów

Ostrzeżenie: (0%)
-----

nie jest
Go to the top of the page
+Quote Post
hwao
post
Post #3


Developer


Grupa: Moderatorzy
Postów: 2 844
Pomógł: 20
Dołączył: 25.11.2003
Skąd: Olkusz
Cytat(Ozzy @ 2006-02-19 18:39:37)
nie jest

i tak i nie:) zalezy czy filtrujesz dane przed daniem ich do tej funkcji ;-)
jezeli nie, to nie jest
Go to the top of the page
+Quote Post
dr_bonzo
post
Post #4





Grupa: Przyjaciele php.pl
Postów: 5 724
Pomógł: 259
Dołączył: 13.04.2004
Skąd: N/A

Ostrzeżenie: (0%)
-----

Na SQL Injection moze byc jedynie odporne zapytanie SQL

[PHP] pobierz, plaintext 
  1. <?php
  2. $zapytanie = "SELECT * FROM uzytkownicy WHERE uzytk_login='".$user."'";
  3. ?>
[PHP] pobierz, plaintext


Nie jest ono zabezpieczone bo podstawiasz nieprzefiltrowana wartosc $user.
Ta funkcja powinna sie zajac escapowaniem swoich argumentow, ktore pozniej wkladasz do SQLa.

Co do spraw technicznych, czyli jak to zrobic --> jest post na forum.
Go to the top of the page
+Quote Post
aleksander
post
Post #5





Grupa: Przyjaciele php.pl
Postów: 742
Pomógł: 0
Dołączył: 14.12.2003
Skąd: Gdańsk, Trójmiasto

Ostrzeżenie: (0%)
-----

http://forum.php.pl/index.php?showtopic=23258

zamykam
Go to the top of the page
+Quote Post
« Następny starszy · Przedszkole · Następny nowszy »
 

Closed TopicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 23.08.2025 - 04:04
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn