Włamania za pomocą SQL

Włamania za pomocą SQL

unknowner Zobacz profil	23.04.2007, 14:29:44 Post #1
Grupa: Zarejestrowani Postów: 1 Pomógł: 0 Dołączył: 23.04.2007 Ostrzeżenie: (0%)	Witam. Zanim wziąłem się za napisanie tego tematu przewertowałem kilka tematów, chcąc nie chcąc przyznam że większości spraw nie rozumiem. Mam jednak konkretne pytanie dotyczące konkretnej metody. Interesuje mnie, jak za pomocą edycji SQL można się włamać na czyjść profil na forum. Jest tutaj temat z metodą Kod <?php', haslo='nowe_haslo' WHERE id = '1'/*?> która faktycznie nie działa. Wiem że metoda ta polega na zmienieniu hasła użytkownikowi o ID = 1, czyli zazwyczaj adminowi. Prosiłbym żeby ktoś pomocny dał mi poradę, jak prawidłowy kod powinien wyglądać oraz czy wpisując go w dowolnym punkcie edycji profilu zadziała ( jeśli nie to w jakim konkretnym ). Pozdrawiam.

misiek172 Zobacz profil	23.04.2007, 15:21:12 Post #2
Grupa: Zarejestrowani Postów: 656 Pomógł: 3 Dołączył: 26.10.2005 Skąd: Częstochowa Ostrzeżenie: (0%)	popierwsze zanim wydasz zapytanie do bazy to musisz sie z nia połączyć, czyli znać haslo, login i nazwe bazy danych, dopiero po wywowałaniu mysql_connect i mysql_select_db mozesz wykonywać zapytania -------------------- zmoderowano - waga i rozmiar

mild Zobacz profil	23.04.2007, 17:52:47 Post #3
Grupa: Zarejestrowani Postów: 78 Pomógł: 0 Dołączył: 22.04.2007 Skąd: Wrocław Ostrzeżenie: (0%)	Inna sprawa ze nie jestem pewien czy to forum powinno uczyc robic wlamania.

skowron-line Zobacz profil	23.04.2007, 18:56:51 Post #4
Grupa: Zarejestrowani Postów: 4 340 Pomógł: 542 Dołączył: 15.01.2006 Skąd: Olsztyn/Warszawa Ostrzeżenie: (0%)	Cytat(mild @ 23.04.2007, 16:52:47 ) Inna sprawa ze nie jestem pewien czy to forum powinno uczyc robic wlamania. To forum ma uczyc a jeżeli ktoś bedzie potrafił sie "włamac" to znaczy ze znalaz luke w systemie wiec bedzie potrafil wyeliminowac blad, i napewno zwroci uwage podczas pisania wlasnej aplikacji -------------------- *I'm so fast that last night I turned off the light switch in my hotel room and was in bed before the room was dark* - Muhammad Ali. *Peg jeżeli chcesz uprawiać sex to dzieci muszą wyjść, a jeżeli chcesz żeby był dobry ty też musisz wyjść* - Al Bundy. QueryBuilder, Mootools.net, bbcradio1::MistaJam http://www.phpbench.com/

Darti Zobacz profil	25.04.2007, 08:58:14 Post #5
Grupa: Zarejestrowani Postów: 1 076 Pomógł: 62 Dołączył: 6.03.2005 Skąd: Wroc Ostrzeżenie: (0%)	Tak sobie myślę, że jeżeli ktoś jest na tyle "sprytny" żeby samodzielnie całe forum napisać, to więcej niż pewne że zastosował się do wskazówek chroniących przed SQL insertion/injection i sprawdza, co użytkownicy mu tam w inputach wpisują. pzdr -------------------- The answer is out there, Neo. It's looking for you. And it will find you, if you want it to. SERVER_SOFTWARE : Apache/2.2.4 (Win32) PHP/5.2.1 MySQL Client API version : 5.0.27

envp Zobacz profil	25.04.2007, 09:57:38 Post #6
Grupa: Zarejestrowani Postów: 359 Pomógł: 1 Dołączył: 16.04.2006 Skąd: Łódź Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <?php $query = "UPDATE `Users` SET `haslo` = (md5('$sHaslo')) WHERE `id`='$iId'" ?> [PHP] pobierz, plaintext gdy nie damy mysql_escape_string() czy jakiejkolwiek innej metody dodającej slashe to zoacz co sie dzieje gdy w swoje hasło wpiszesz: NoweHaslo')) WHERE `id`= '1' # zapytanie zmienia się na : [SQL] pobierz, plaintext UPDATE `Users` SET `haslo` = (md5('NoweHaslo')) WHERE `id`='1' #)) WHERE `id`='$iId' [SQL] pobierz, plaintext

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Aktualny czas: 22.08.2025 - 07:01

Hosting zapewnia

Forum PHP.pl