[Jportal] Poprawienie skryptu Opcje

[PhoenixPL]

Wiem, że to nie suport jportalu, ale autor nie kwapi się do poprawy poważnego błędu więc liczę na waszą pomoc Czy potrafi ktoś to poprawić? http://marc.theaimsgroup.com/?l=bugtraq&m=...48957426316&w=2 Studiując wątki na forum stwierdziłem, że tak będzie dobrze. Mając taki kod:

[PHP] pobierz, plaintext 
<?php
if($cat=='all') {
 
$q_ = "AND title LIKE '%$word%'";
 
} else {
 
$q_ = "AND category LIKE '%-$cat-%' AND title LIKE '%$word%'";
 
}
 
 
$query = "SELECT * FROM $file_b_tbl WHERE stat<>5 $q_";
$result = mysql_query($query);
?>
[PHP] pobierz, plaintext 

Zamiana zapytania

$query

na coś takiego

[PHP] pobierz, plaintext 
<?php
$query = 'SELECT * FROM $file_b_tbl WHERE stat<>5 mysql_real_escape($q_)';
?>
[PHP] pobierz, plaintext 

Pomogła by?

[siemakuba]

ja zmieniłbym raczej tak:

[PHP] pobierz, plaintext 
<?php
if($cat=='all') {
	$q_ = "AND title LIKE '%".mysql_real_escape_string($word)."%'";
} else {
	$q_ = "AND category LIKE '%-".mysql_real_escape_string($cat)."-%' AND title LIKE '%".mysql_real_escape_string($word)."%'";
}
 
$query = "SELECT * FROM $file_b_tbl WHERE stat<>5 $q_";
$result = mysql_query($query);
?>
[PHP] pobierz, plaintext 

zmieniając to tak jak napisałeś, zapytanie zostanie zepsute i nie zostanie wykonane.

pozdr.

[PhoenixPL]

O jej masz racje nie działa A czy będzie to bezpieczne ;> W manualu jest napisane że nie dotyczy '@' a tam jest ten znaczek

[siemakuba]

A czy będzie to bezpieczne ;> W manualu jest napisane że nie dotyczy '@' a tam jest ten znaczek

Ale dzie napisali? No i gdzie ta @ jest? Nie rozumiem...

A czy będzie bezpieczne? Zobacz co robi funkcja mysql_real_escape_string" title="Zobacz w manualu php" target="_manual - dodaje slashe do znaków specjalnych, które mogły by namieszać gdyby były użyte w niewłaściwy sposób. Na tyle cię to zabezpiecza. :)

pozdr.

[PhoenixPL]

Rozumiem, wiec wykonanie czegoś takiego nic nie da ? ?

[PHP] pobierz, plaintext 
<?php
a%' UNION SELECT NULL , NULL , nick , pass, NULL , NULL , NULL , NULL , NULL , NULL
 , 
NULL , NULL FROM admins/
?>
[PHP] pobierz, plaintext 

[siemakuba]

a czy to jest naprade tak ciezko sprawdzic samemu tudziez poszukac? Wiele napisano na ten temat.
Mówiąc krótko, nie da. Znaki specjalne będą poprzedzone slashem, nie zostaną więc zinterpretowane jako specjalne tylko jako normalny ciąg znaków, w tym przypadku wynik wyszukiwania nic nie zwróci, chyba że w bazie będziesz miał akurat coś jak ten string który próbujesz podstawić do szukania.

pozdr.

[PhoenixPL]

Właśnie czytałem dlatego się obawiam

Notatka: mysql_real_escape_string() nie dodaje znaków unikowych przed % i _.

I wielkie dzięki za pomoc

[siemakuba]

wydaje mi się, że tu akurat znak % nie będzie problemem, ale apostrof ('), który kończy wzorzec i dzięki temu będzie możliwe dodanie UNION do zapytania.

możesz się uprzeć i dodatkowo dać np.

[PHP] pobierz, plaintext 
<?php
$str = str_replace(array('%', '_'), array('%', '_'), $str);
?>
[PHP] pobierz, plaintext 

ale wydaje mi się to zbędne.

pozdr.

Ten post edytował siemakuba 14.06.2006, 15:28:46

[dr_bonzo]

Czas przeniesc w odpowiednie miejsce -> Gotowe skrypty

[PhoenixPL]

Czyli ten apostrof, może sprawić, że zapytanie się wykona?