Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php+sql]SQL INSERTION - UPDATE
daniel1302
post
Post #1





Grupa: Zarejestrowani
Postów: 602
Pomógł: 30
Dołączył: 1.08.2007
Skąd: Nowy Sącz

Ostrzeżenie: (0%)
-----


Jest to pytanie abym poznał o co chodzi w SQL INJECTION

Mam taki plik

  1. <?php
  2. mysql_connect('localhost', 'root', '');
  3. mysql_select_db('testowa');
  4. $query = &#092;"UPDATE uzytkownicy SET login='\".$_GET['user'].\"'\";
  5. mysql_query($query) or die(mysql_error());
  6. ?>


i w bazie jeden rekord
i jesli odpale link
example0x.php?user=daniel1302',%20pass='Daniela

to login zmienia na
daniel1302', pass='Daniel

Dlaczego nie zmienia hasła

Ten post edytował Piniek 20.04.2008, 11:50:15
Powód edycji: Dodanie odpowiedniego tagu do tematu. Proszę żeby następnym razem autor sam go dodawał.
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
l0ud
post
Post #2





Grupa: Zarejestrowani
Postów: 1 387
Pomógł: 273
Dołączył: 18.02.2008

Ostrzeżenie: (0%)
-----


daniel1302, NIGDY nie ufaj magic_quotes. To, że u Ciebie na serwerze działa to poprawnie, nie oznacza, że gdzie indziej będzie tak samo. Poza tym później napotkasz się z problemami z wydobywaniem danych z bazy, bo nie do końca wiadomo będzie kiedy użyć stripslashes() (i po co, skoro nie używaliśmy addslashes()?)

Zawsze ręcznie filtruj zmienne wyjściowe.
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 13.10.2025 - 19:36