Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> sql injection - dlaczego?
john_doe
post
Post #1





Grupa: Zarejestrowani
Postów: 873
Pomógł: 25
Dołączył: 24.07.2005

Ostrzeżenie: (0%)
-----

w niezabezpieczonym skrypcie przed SQL Injection pakuje w pole login takie coś

' ; drop table table1;'

zapytanie SQL

[PHP] pobierz, plaintext 
  1. <?php
  2. $query = 'SELECT name, surname, login, haslo, poziom FROM users 
  3.               WHERE login = '."'". $_POST['login']."'";
  4. ?>
[PHP] pobierz, plaintext


gdy zapodam to wszystko przez przeglądarkę tabela table1 nie zostaje zdropowana, natomiast jeśli wyprintuje to zapytanie a potem wkleje np do phpMyAdmin i zapuszcze to tabelka się dropuje
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
john_doe
post
Post #2





Grupa: Zarejestrowani
Postów: 873
Pomógł: 25
Dołączył: 24.07.2005

Ostrzeżenie: (0%)
-----

nospor kiedyś mi pomogłeś z $_GET i SQL Injection przy jednym projekcie. moc z Tobą (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
ale zobacz co da temu komuś limit 1 skoro przez to zwróci tylko jeden wiersz? a chciałby wszystkie? no chyba, że akurat na 1szym miejscu będzie konto admina (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

P.S co z PDO i wielokrotnym zapytaniem. Czy działa tak samo jak mysql_query?

Ten post edytował john_doe 27.05.2009, 13:00:31
Go to the top of the page
+Quote Post

Posty w temacie
- john_doe   sql injection - dlaczego?   27.05.2009, 12:25:41
- - wookieb   Bo mysql_query wykonuje tylko jedno zapytanie. i j...   27.05.2009, 12:28:33
- - mike   Ponieważ do wykonania tego zapytania stosujesz zap...   27.05.2009, 12:29:12
- - john_doe   ok a czy PDO potrafi ?   27.05.2009, 12:31:38
- - erix   Temat: SQL_Injection_Insertion Chyba nie ma co ko...   27.05.2009, 12:32:05
|- - mike   Cytat(erix @ 27.05.2009, 13:32:05 ) T...   27.05.2009, 12:35:29
- - john_doe   erix, wiem, że jest temacik przypięty o SQL Inject...   27.05.2009, 12:40:42
|- - phpion   Cytat(john_doe @ 27.05.2009, 13:40:42...   27.05.2009, 12:45:58
- - john_doe   rozumiem phpion po części, bo Twój przykład zwróci...   27.05.2009, 12:53:50
- - nospor   wystarczy ze koles oprocz OR 1=1 dolozy jeszcze li...   27.05.2009, 12:56:19
- - john_doe   nospor kiedyś mi pomogłeś z $_...   27.05.2009, 12:58:31
- - nospor   Cytatno chyba, że akurat na 1szym miejscu b...   27.05.2009, 13:03:38
- - john_doe   nospor mam ogromną prośbę. Spójrz proszę na mój wc...   27.05.2009, 13:07:22
- - Crozin   Jeżeli korzystasz z PDO to skorzystaj z PDOwatych ...   27.05.2009, 14:15:49
- - erix   CytatNie ma co komentować tego, że nie czytasz wąt...   27.05.2009, 15:17:21

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 17.10.2025 - 09:26
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn