Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> sql injection - dlaczego?
john_doe
post
Post #1





Grupa: Zarejestrowani
Postów: 873
Pomógł: 25
Dołączył: 24.07.2005

Ostrzeżenie: (0%)
-----


w niezabezpieczonym skrypcie przed SQL Injection pakuje w pole login takie coś

' ; drop table table1;'

zapytanie SQL

  1. <?php
  2. $query = 'SELECT name, surname, login, haslo, poziom FROM users
  3.              WHERE login = '."'". $_POST['login']."'";
  4. ?>


gdy zapodam to wszystko przez przeglądarkę tabela table1 nie zostaje zdropowana, natomiast jeśli wyprintuje to zapytanie a potem wkleje np do phpMyAdmin i zapuszcze to tabelka się dropuje
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
john_doe
post
Post #2





Grupa: Zarejestrowani
Postów: 873
Pomógł: 25
Dołączył: 24.07.2005

Ostrzeżenie: (0%)
-----


erix, wiem, że jest temacik przypięty o SQL Injection.
Ale pytałem o coś innego. Masa ludzi krytykuje skrypty, że są podatne na "ZASTRZYK" a przy użyciu mysql_query to nie kosi.
I w przypiętym tego nie ma.
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 15.10.2025 - 20:08