Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> hack - kasowanie baz danych przez formularze, jak?
koskitos
post 2.09.2005, 17:42:37
Post #1





Grupa: Zarejestrowani
Postów: 149
Pomógł: 0
Dołączył: 18.04.2004
Skąd: Z nikąd

Ostrzeżenie: (30%)
XX---


temat będzie służył informacji, jakie są skutki złego zabezpieczenia formularzy - aby mieć świadomość [nie służy on złym praktykom]

załóżmy, że niedoświadczony webmaster użył formularza i potem go nie zabezpieczył.

Tekst jest tak dodawany do bazy jak go wpiszę - żadne znaki nie są zamieniane żadnymi funkcjami (htmlspecialchars, striptags, itp.).

W tym formularzu użył polecenia INSERT.

Jak można skasować mu bazę danych lub narobić bigosu?

załóżmy:
  1. <?php
  2. $query = 'INSERT INTO tabela values('.$a.')';
  3. ?>


a jak w przypadku:
  1. <?php
  2. $query = 'INSERT INTO tabela values("'.$a.'")';
  3. ?>


questionmark.gif?


--------------------
kOskiToS :D
Go to the top of the page
+Quote Post

Posty w temacie


Closed TopicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 18.07.2025 - 02:50