הוסטס - פורום אחסון האתרים הגדול בישראל - הצילו!! חור אבטחה שגיליתי!! (PHP)

עמוד 1 מתוך 2

הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - הצילו!! חור אבטחה שגיליתי!! (PHP) - תעזרו לי בבקשה... (https://hosts.co.il/forums/showthread.php?t=23965)

-VladK-

14-06-06 12:22

הצילו!! חור אבטחה שגיליתי!! (PHP) - תעזרו לי בבקשה...

שלום..
היום קראתי מאמר לא קצר על שפת הSQL... שם נאמר כיצד ניתן לפרוץ בשימוש בSQL...
עכשיו שם נאמר שאם יש לי שיאלתה כזאת:
SELECT * FROM table WERE use='a' OR a='a'
אז הוא יחשיב את זה ככאילו שהקלדתי שם משתמש נכון...
מה לעשות? כיצד אפשר למנוע שימוש בפסיקים וזה?

בניה	14-06-06 12:25

ב"ה

במשתנים שאתה מקבל מטפסים שעלולים להיות מסוכנים תעשה החלפה של הסימנים הללו בתווי הASCII שלהם.

-VladK-

14-06-06 12:30

איפה אני יכול למצוא רשימה של כל התווים והקוד הASCI שלהם?

sUP	14-06-06 13:02

www.asciitable.com

=]

meshuga

14-06-06 13:07

ציטוט:

נכתב במקור על ידי CriSis

איפה אני יכול למצוא רשימה של כל התווים והקוד הASCI שלהם?

...קראת את הSQL INJECTION של UNDERWAR.......בסדר, פשוט תלמד להשתמש ב
mysql_escape_string והכל יהיה בסדר.

-VladK-

14-06-06 13:17

מה הפונקציה הזאת עושה?

בניה	14-06-06 13:57

ב"ה

מחליפה את התווים הבעיתיים לבד.

-VladK-

14-06-06 14:14

:( תודה! אבל אם ירשמו OR או WHERE או LIKE או כל דבר אחר?

בניה	14-06-06 14:19

ב"ה

זה לא ישנה כי זה יהיה בתוך סוגריים או גרשיים אז הMYSQL יתיחס לזה כמחרוזת.

-VladK-

14-06-06 14:22

ואם אני יכתוב:
' OR a='a
אז מה הוא יראה?

ואילו תווים הוא יחליף? את הגרשים, גרש, והגרש העקום? (`)

כל הזמנים הם GMT +2. הזמן כעת הוא 08:28.

עמוד 1 מתוך 2

הצג 40 הודעות באשכול על דף אחד