[PHP]sql injection - problem z działaniem Opcje

[Majzel]

plik test.php

[HTML] pobierz, plaintext 
<form method="POST" action="skrypt.php">
Login: <input type="text" name="login"><br>
Hasło: <input type="text" name="haslo"><br>
<input type="submit" value="Zaloguj się"><br>
</form>
[HTML] pobierz, plaintext 

skrypt.php

[PHP] pobierz, plaintext 
<?php
$haslo = $_POST['haslo'];
$login = $_POST['login'];
mysql_connect('localhost','root','')
    or die('Nieudane połączenie');
 
mysql_select_db('baza')
    or die('Nieudane wybranie bazy');
$q = mysql_query("select * from testy where (login='$login') and (haslo='$haslo')");
$rows = mysql_num_rows($q);
if ($rows > 0) {
    echo 'Jesteś adminem!';
    }
 
else {
    echo 'Nie jesteś adminem!';
    }
    ?>
[PHP] pobierz, plaintext 

po wpisaniu magicznego kodu ' OR '1'='1 w pole input w hasle zonk, nie działa, dlaczego? pokazuje ze nie jestem adminem,a nie mam zadnych zabezpieczen wiec powinno pisac ze jestem, dlaczego nie działa?

[bełdzio]

dopiero co było => wylacz magic_quotes_gpc w konfigu PHP

[Majzel]

dzięki, głupio mi pytać ale mam znowu problem, mam takie proste zapytanie sql:

[SQL] pobierz, plaintext 
SELECT *
FROM testy WHERE (
login = 'test' AND haslo = 'bla' AND '1' = '2'
) OR DELETE FROM testy;
[SQL] pobierz, plaintext 

i wyskakuje błąd mysql'a #1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'DELETE FROM testy' at line 7
a powinien usunąć tabele testy
Proszę o pomoc.

Ten post edytował Majzel 11.11.2008, 14:29:27

[bełdzio]

w mySQL można wykonać tylko jedno zapytanie na raz