![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 453 Pomógł: 16 Dołączył: 25.05.2004 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%) ![]() ![]() |
Witam, całe sql injection to dla mnie nowość, jednak zdażyło mi się już przez to oberwać (a raczej mojej bazie), czy istnieje jakiś skuteczny i prosty sposób któy pozwoli się zabezpieczyć przed tym świństwem ?
korzystam z mssql 2000 enterprise edition i php 4.3 . z góry dzięki za pomoc. dodam że w manualu php nie znalazłem czegoś takiego jak mssql_escape_string ;p Ten post edytował fiszol 19.12.2004, 14:53:57 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 42 Pomógł: 0 Dołączył: 23.06.2002 Skąd: Opole Ostrzeżenie: (0%) ![]() ![]() |
Proboje poznac zasade działania sql injection.. dzieki temu latwiej pozniej unikac pewnych bledow.
Mam kod: xxx.php
teraz w przegladarce podaje: http://localhost/sqlinjection/xxx.php?x=Imie no i wszystko ok print wywala mi na stronke: SELECT * from test WHERE (x = 'Imie') Teraz chcialem przetestowac jedno z mozliwosci sql injection i zmusic by skrypt skasowal tabele o nazwie "tabela" w tej bazie danych pisze wiec taki adres w przegladarce: http://localhost/sqlinjection/xxx.php?x=imie'); DELETE FROM tablica;-- http://localhost/sqlinjection/xxx.php?x=imie'); DELETE%20FROM%20tabela;-- w wyniku czego print wywala mi na ekran: SELECT * from test WHERE (x = 'imie'); DELETE FROM tablica;--') i wg materialow ktore czytalem powinno to poswodowac skasowanie zawartosci tablicy "tablica" niestety jednak tablica jest niezmieniona... Gdy to co mi wyswietlil print wykonam recznie w bazie danych w mysqlu to bardzo sie tnie maszyna moja procesora uzycie rosnei znacznie na proces php.exe ;] Natomiast gdy zastapie -- hashem # w bazie wszystko wykonuej sie jak nalezy. I teraz pytanie co robie zle bo sadze ze taki prosty skrypt napewno jest podatny na sql injection... Pozdrawiam cieplutko Emitra |
|
|
![]() ![]() |
![]() |
Aktualny czas: 12.10.2025 - 01:33 |