Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Closed TopicStart new topic
> zablokowac ; (średnik), SQL injection
php programmer
post 9.01.2006, 17:45:30
Post #1





Grupa: Zarejestrowani
Postów: 1 045
Pomógł: 5
Dołączył: 8.11.2004
Skąd: trójmiasto

Ostrzeżenie: (0%)
-----

witam
czy jeśli zablokuje wykonianie pytania ze średnikiem to pozbędę sie automatycznie problemu SQL INJECTION?
Jeśli tak, to jak moge taka blokade ustawic samodzielnie,
czy tez moze zrobic to jedynie administrator?

Ten post edytował php programmer 9.01.2006, 17:46:38
Go to the top of the page
+Quote Post
ikioloak
post 9.01.2006, 18:14:52
Post #2





Grupa: Zarejestrowani
Postów: 416
Pomógł: 0
Dołączył: 8.01.2004

Ostrzeżenie: (0%)
-----

Nie pozbedziesz sie. To nie jest az tak proste. Przstudiuj przyklad:
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. $query = "delete from clients where id=".$_GET['id'];
  4. print $query;
  5.  
  6. ?>
[PHP] pobierz, plaintext

zamiast print $query oczywiscie u ciebie jakies operacje na bazie. Strone ta wywolujesz oczywiscie strona.php?id=5
I teraz zobacz co sie stanie jak ktos wpisze strona.php?id=5 or 1=1
Go to the top of the page
+Quote Post
kicaj
post 9.01.2006, 18:27:28
Post #3





Grupa: Zarejestrowani
Postów: 1 640
Pomógł: 28
Dołączył: 13.02.2003
Skąd: Międzyrzecz/Poznań

Ostrzeżenie: (0%)
-----

Jak juz to:
[PHP] pobierz, plaintext 
  1. <?php
  2. $query = "DELETE FROM clients WHERE id="'. $_GET['id'] .';";
  3. ?>
[PHP] pobierz, plaintext
Ale nie stosowalem nigdy srednika w zapytaniach SQL to nie wiem czy to mozliwe.

Oczywiscie zmienna $_GET musi byc odpowiednio sprawdzana przez nasz system, warunkami, typem, moze regexp oraz funkcja mysql_escape_string itp.

P.S.


--------------------
PHP Developer

"Nadmiar wiedzy jest równie szkodliwy jak jej brak" Émile Zola
Go to the top of the page
+Quote Post
SongoQ
post 12.01.2006, 04:25:32
Post #4





Grupa: Przyjaciele php.pl
Postów: 2 923
Pomógł: 9
Dołączył: 25.10.2004
Skąd: Rzeszów - studia / Warszawa - praca

Ostrzeżenie: (0%)
-----

Cytat
czy jeśli zablokuje wykonianie pytania ze średnikiem to pozbędę sie automatycznie problemu SQL INJECTION

Srednik do tego nic nie ma, radze poszukac posta na forum gdzie temat byl walkowany.


--------------------
Metallica, Slayer, Megadeth, Anthrax na Sonisphere | AC/DC koncert w Warszawie

Symfony - przyśpieszanie Propela z wykorzystaniem widoków (view) baz danych
Go to the top of the page
+Quote Post
mike
post 12.01.2006, 08:24:11
Post #5





Grupa: Przyjaciele php.pl
Postów: 7 494
Pomógł: 302
Dołączył: 31.03.2004

Ostrzeżenie: (0%)
-----

Zamykam.
Temat SQInjection jest poruszany w wątku: SQL Injection/Insertion, Jak zapobiec włamaniu na stronę.
Go to the top of the page
+Quote Post
« Następny starszy · Bazy danych · Następny nowszy »
 

Closed TopicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 18.07.2025 - 18:08
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn