[MySQL][PHP] SQL Injection

[MySQL][PHP] SQL Injection

-MPC User-	11.06.2012, 19:05:25 Post #1
Goście	Jakiś user udostępnił skrypt na pewnym forum i część użytkowników twierdzi, że jest on podatny na SQLi. Nie znam się na php, ale chciałbym wtłoczyć ten skrypt do pewnej strony, ale nie wiem czy jest on bezpieczny. [PHP] pobierz, plaintext <?php // by Smudzas-Design $host = ''; $user = ''; $pass = ''; $cena = 62; // cena pierwszego pierscionka $czas = 7; // dlugosc pierwszego pierscionka mysql_connect($host, $user, $pass); mysql_select_db('account'); echo '<meta http-equiv="content-type" content="text/html; charset=utf-8" />'; $zap = "SELECT `cash` FROM `account` WHERE `id`='".$_SESSION['id']."' LIMIT 1"; $tab = mysql_fetch_assoc(mysql_query($zap)); if($_GET['akcja'] == 'pd'){ if($_GET['dni'] == $czas){ if($tab['cash'] < $cena){ echo 'Masz zbyt mało Smoczych Monet<br>'; } else{ $data = date("Y-m-d H:i:s"); $time = strtotime($data); $czasTrwania = 3600 * 24 * $czas; $nowaData = $time + $czasTrwania; $doKiedy = date("Y-m-d H:i:s", $nowaData); $pd = mysql_query("UPDATE `account` SET `cash`=`cash`-".$cena.", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'"); if($pd){ echo 'Pomyślnie kupiłeś PD'; } else{ echo 'Błąd. Spróbuj ponownie'; } } } elseif($_GET['dni'] == $czas2){ if($tab['cash'] < $cena2){ echo 'Masz zbyt mało Smoczych Monet'; } else{ $data = date("Y-m-d H:i:s"); $time = strtotime($data); $czasTrwania = 3600 * 24 * $czas 2; $nowaData = $time + $czasTrwania; $doKiedy = date("Y-m-d H:i:s", $nowaData); $pd = mysql_query("UPDATE `account` SET `cash`=`cash`-".$cena2 .", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'"); if($pd){ echo 'Pomyślnie kupiłeś PD'; } else{ echo 'Błąd. Spróbuj ponownie'; } } } elseif($_GET['dni'] == $czas4){ if($tab['cash'] < $cena4){ echo 'Masz zbyt mało Smoczych Monet'; } else{ $data = date("Y-m-d H:i:s"); $time = strtotime($data); $czasTrwania = 3600 * 24 * $czas 4; $nowaData = $time + $czasTrwania; $doKiedy = date("Y-m-d H:i:s", $nowaData); $pd = mysql_query("UPDATE `account` SET `cash`=`cash`-".$cena4 .", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'"); if($pd){ echo 'Pomyślnie kupiłeś PD'; } else{ echo 'Błąd. Spróbuj ponownie'; } } } else{ echo '<a href="index.php?akcja=pd&dni='.$czas.'"><h1 style="text-align:center;">'.$czas.' dni ('.$cena.' SM)</h1></a>'; echo '<a href="index.php?akcja=pd&dni='.$czas2 .'"><h1 style="text-align:center;">'.$czas2 .' dni ('.$cena2 .' SM)</h1></a>'; echo '<a href="index.php?akcja=pd&dni='.$czas4 .'"><h1 style="text-align:center;">'.$czas4 .' dni ('.$cena4 .' SM)</h1></a>'; } } else{ echo '<a href="index.php?akcja=pd"><h1 style="text-align:center;">Kup pierścień expa</h1></a>'; } ?> [PHP] pobierz, plaintext

Posty w temacie

MPC User [MySQL][PHP] SQL Injection 11.06.2012, 19:05:25

IProSoft Zwróć uwagę na to zapytanie: [PHP] pobierz, plaint... 11.06.2012, 19:08:15

greycoffey Cytat(IProSoft @ 11.06.2012, 20:08:15... 11.06.2012, 19:57:01

MPC User Cytat(greycoffey @ 11.06.2012, 19:57... 11.06.2012, 20:46:28

Rysh Cytat(MPC User @ 11.06.2012, 21:46:28... 11.06.2012, 20:48:40

MPC User [PHP] pobierz, plaintext $zap = "SELECT `cash... 11.06.2012, 19:13:11

IProSoft @UP a skąd pewnośc, że w ten sposób nie jest Tworz... 11.06.2012, 20:27:06

greycoffey Cytat(IProSoft @ 11.06.2012, 21:27:06... 12.06.2012, 15:34:08

MPC User Jak może zmienić zmienną która jest zdeklarowana w... 11.06.2012, 21:31:33

d3ut3r można poczytać ciekawe rzeczy http://ha.xxor.se/... 13.06.2012, 05:19:55

« Następny starszy · Przedszkole · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 19.08.2025 - 16:14

Hosting zapewnia

Forum PHP.pl