[ קוד פתוח ] מערכת מדולים שבניתי - עמוד 3 - הוסטס

**Tomer** · 12-06-07, 11:15

$act עדיין מועבר לשאילתא ישירות ולא עובר שום סינון. זו פרצת אבטחה רצינית.

אבל סבבה, שים את המערכת הזו באתר שלך... ותשתדל לחסום את DROP TABLE מההרשאות משתמש בשרת.

Startzero.net · 12-06-07, 11:16

ציטוט:

נכתב במקור על ידי Tomer

$act עדיין מועבר לשאילתא ישירות ולא עובר שום סינון. זו פרצת אבטחה רצינית.

אבל סבבה, שים את המערכת הזו באתר שלך... ותשתדל לחסום את DROP TABLE מההרשאות משתמש בשרת.

לא הבנתי אותך..
תוכל להראות לי מה זה $act?
וד"א כשאני שם באתר שלי זה מוגן במערכת הניהול שלי, עם סיסמא ומשתמש:>

**Tomer** · 12-06-07, 11:17

$act = $_GET['act'] מועבר ישירות לשאילתא שם. אם מישהו יזין שם משהו קצת שונה מהרגיל והוא פוגע לך בנתונים ובטבלאות.

Startzero.net · 12-06-07, 11:19

ציטוט:

נכתב במקור על ידי Tomer

$act = $_GET['act'] מועבר ישירות לשאילתא שם. אם מישהו יזין שם משהו קצת שונה מהרגיל והוא פוגע לך בנתונים ובטבלאות.

PHP קוד:


			
        $act = htmlspecialchars($act);

בסדר?

Gal Shafrir · 12-06-07, 11:19

PHP קוד:


			
<?php
    $act = htmlspecialchars($_GET['act']);
    $act = mysql_real_escape_string($act);
?>

למשל כמו שאני עשיתי..

עריכה, לא ראיתי שכתבת.

mayden · 12-06-07, 11:21

יוזמה מצויינת, קבל ח"ח.

|לב|

Startzero.net · 12-06-07, 11:23

DJ G.S: זה בסדר גם מה שאני עשיתי...
אלכס תודה אחי

**Tomer** · 12-06-07, 11:35

אני רואה שאתה לא משנה, לא חשוב.

אישית אני לא ממליץ להוריד. בהצלחה.

Startzero.net · 12-06-07, 12:09

ציטוט:

נכתב במקור על ידי Tomer

אני רואה שאתה לא משנה, לא חשוב.

אישית אני לא ממליץ להוריד. בהצלחה.

חבל ככה להגיד.. במקום לתקן את זה בעצמך
או שפשוט להגיד לי איפה לתקן :S

**Tomer** · 12-06-07, 12:18

ציטוט:

נכתב במקור על ידי startzero.net

חבל ככה להגיד.. במקום לתקן את זה בעצמך
או שפשוט להגיד לי איפה לתקן :S

נמ,

$act = $_GET['act'];

$act = mysql_escape_string($_GET['act'];

$edit = $_GET['edit'];

$edit = mysql_escape_string($_GET['edit']);

ובכל מקום אחר שיש בו את הצורה הזו..

12-06-07, 11:15	# 21
Tomer Whatever מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 7,039	$act עדיין מועבר לשאילתא ישירות ולא עובר שום סינון. זו פרצת אבטחה רצינית. אבל סבבה, שים את המערכת הזו באתר שלך... ותשתדל לחסום את DROP TABLE מההרשאות משתמש בשרת. __________________ תומר

12-06-07, 11:17	# 23
Tomer Whatever מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 7,039	$act = $_GET['act'] מועבר ישירות לשאילתא שם. אם מישהו יזין שם משהו קצת שונה מהרגיל והוא פוגע לך בנתונים ובטבלאות. __________________ תומר

12-06-07, 11:19	# 25
Gal Shafrir חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,626	PHP קוד: `<?php $act = htmlspecialchars($_GET['act']); $act = mysql_real_escape_string($act); ?>` למשל כמו שאני עשיתי.. עריכה, לא ראיתי שכתבת. __________________ בברכה, גל שפריר - מעצב ומפתח אתרים. עופר שפריר - במאי, תסריטאי ומפיק.

12-06-07, 11:23	# 27
Startzero.net חבר מתקדם מיני פרופיל תאריך הצטרפות: Mar 2007 מיקום: מאחוריך. הודעות: 737	DJ G.S: זה בסדר גם מה שאני עשיתי... אלכס תודה אחי __________________ www.Startzero.net פיתוח אתרים \| תכנות אתרים \| עיצוב אתרים \| קידום אתרים

12-06-07, 11:35	# 28
Tomer Whatever מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 7,039	אני רואה שאתה לא משנה, לא חשוב. אישית אני לא ממליץ להוריד. בהצלחה. __________________ תומר


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)