[MSSQL][PHP]Prośba o atak "sql injection" - na moją strone !

[MSSQL][PHP]Prośba o atak "sql injection" - na moją strone !, Chciałbym sprawdzić czy jest odporna :)

Jarek3366 Zobacz profil	23.02.2010, 19:21:25 Post #1
Grupa: Zarejestrowani Postów: 23 Pomógł: 0 Dołączył: 28.05.2007 Ostrzeżenie: (0%)	Witam Nie jestem jakimś zaawansowanym programistą php itd. Ale przygotowałem dla swojej firmy pewną wyszukiwarkę i chciałbym zobaczyć czy jest ona odporna na rożnego rodzaju ataki sql injection. Mam nadzieje ze jeżeli ktoś ją złamie to dowiem się gdzie popełniłem błąd... Bo o to mi chodzi... Jest to wyszukiwarka biletu (e-karty) każda karta ma swój numer dla przykładu : 0467999564 po wpisaniu wyskakują informacja jaki bilet jest załadowany http://www.bilet.yoyo.pl/php/baza.php o wynikach proszę pisać na forum z góry dziękuje Pozdrawiam Jarek

Odpowiedzi (1 - 3)

potreb Zobacz profil	23.02.2010, 19:45:17 Post #2
Grupa: Zarejestrowani Postów: 1 568 Pomógł: 192 Dołączył: 7.03.2005 Skąd: Warszawa Ostrzeżenie: (0%)	Mamy podać wyniki z bazy? Nie wiadomo czy to twoja strona, dwa podchodzi to pod kk. --------------------

bemol Zobacz profil	23.02.2010, 19:52:59 Post #3
Grupa: Zarejestrowani Postów: 286 Pomógł: 29 Dołączył: 5.04.2007 Skąd: Rymanów Zdrój/Rzeszów Ostrzeżenie: (0%)	http://www.zubrag.com/tools/sql-injection-test.php -------------------- Tym ludziom zaufałem i dobrze na tym wyszedłem: kresh Darti piotrekkr Bez nich wiele bym nie zrobił. Dzięki im za to!

Jarek3366 Zobacz profil	24.02.2010, 06:41:34 Post #4
Grupa: Zarejestrowani Postów: 23 Pomógł: 0 Dołączył: 28.05.2007 Ostrzeżenie: (0%)	Dostałem info ze lepiej żebym wkleił tu kod php wiec to robię [PHP] pobierz, plaintext <?php if(is_numeric($_POST['fraza'])) { $ilosc=(integer)$_POST['fraza']; } else { $ilosc = 1212; } $z = "zł"; $db = mysql_connect("xxx","yyy","zzz"); mysql_select_db("yyy",$db); mysql_query("SET NAMES utf8"); $sql = "SELECT * FROM tabela WHERE bilet LIKE $ilosc"; $res = mysql_query($sql, $db); while ($row = mysql_fetch_array($res)) { $numer = $row["bilet"]; $data = $row["data"]; $godzina = $row["godz"]; $rodzaj = $row["rodzaj"]; $zakres = $row["zakres"]; $cena = $row["cena"]; $od = $row["od"]; $do = $row["do"]; echo '<table align="center" BORDER=1 CELLPADDING=5>'; echo '<tr><td align="center"><b>Numer karty:</b></td>'; echo '<td align="center"><b>Data ładowania:</b></td>'; echo '<td align="center"><b>Rodzaj biletu:</b></td>'; echo '<td align="center"><b>Typ biletu:</b></td>'; echo '<td align="center"><b>Cena:</b></td>'; echo '<td align="center"><b>Od</b></td>'; echo '<td align="center"><b>Do</b></td><br></tr>'; echo '<tr><td align="center">'.$numer.'</td>'; echo '<td align="center">'; echo $data; echo '<br>'; echo $godzina; echo '</td>'; echo '<td align="center">'.$rodzaj.'</td>'; echo '<td align="center">'.$zakres.'</td>'; echo '<td align="center">'.$cena.' zł</td>'; echo '<td align="center">'.$od.'</td>'; echo '<td align="center">'.$do.'</td><br></tr></table>'; ?> <? } if (!$numer) { echo '<p align="center" size="3"><b>Brak załadowanego biletu na karcie !!!</b><br>'; } ?> <br> <p align="center"> <br> <form align="center" action="baza.php" method="POST"> Wpisz numer karty: <input type="text" name="fraza"> <input type="submit" value="Szukaj "> </form> <? $t = 0; $sql = "SELECT * FROM tabela WHERE data LIKE 0"; $res = mysql_query($sql, $db); while ($row = mysql_fetch_array($res)) { $aktualicacja = $row["zakres"]; } echo '<align="center">'; echo "Aktalizacja z dnia : "; echo $aktualicacja; mysql_close($db); ?> [PHP] pobierz, plaintext

« Następny starszy · Przedszkole · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 14.08.2025 - 06:15

Hosting zapewnia

Forum PHP.pl