Vecteevs Posted January 22, 2011 Report Share Posted January 22, 2011 Sveiki, problēma tāda, ka kāds visu laiku uzlauž lapu vai veic sql injekcijas un tādejādi labo datubāzes ierakstus. Kādi varētu būt risinājumi? Kāds var privāti pieteikties palīdzēt? Iedošu lapas adresi un varētu paskatīties kur ir kāds "caurums" un paskatīšos ko tur var darīt. Visus POST un GET datus esmu eskeipojis un vairs galīgi nevaru saprast kur ir problēma :( Quote Link to comment Share on other sites More sharing options...
rebuilder Posted January 22, 2011 Report Share Posted January 22, 2011 kas pa lapu? Quote Link to comment Share on other sites More sharing options...
daGrevis Posted January 22, 2011 Report Share Posted January 22, 2011 Fn mysql_real_escape_string() ir? Quote Link to comment Share on other sites More sharing options...
Vecteevs Posted January 22, 2011 Author Report Share Posted January 22, 2011 protams, GET mainīgajiem kur ir cipari panjemu ar (int) rekur piemērs kā man izskatās visi qveriji: $event = htmlspecialchars($_GET['event']); $id = (int)$_GET['id']; if ($event == "confirm") { $query = sprintf("UPDATE lauks SET completed='yes' WHERE id='$id'") or die(mysql_error()); $result = mysql_query($query); header("Location: view.php?id=$id"); exit(); Quote Link to comment Share on other sites More sharing options...
rebuilder Posted January 22, 2011 Report Share Posted January 22, 2011 :D nav brīnums, ka lauž :D 10s jautājums :DD daGrevis jau pateica, kas jādara. Quote Link to comment Share on other sites More sharing options...
Kemito Posted January 22, 2011 Report Share Posted January 22, 2011 in_val() ? mysql_real_escape_string() htmlspecialchars() Quote Link to comment Share on other sites More sharing options...
Vecteevs Posted January 22, 2011 Author Report Share Posted January 22, 2011 :D nav brīnums, ka lauž :D 10s jautājums :DD daGrevis jau pateica, kas jādara. nesapratu :D Quote Link to comment Share on other sites More sharing options...
rebuilder Posted January 22, 2011 Report Share Posted January 22, 2011 Tev te jau ir 2 posti, kur teikts, kas ir jādara ;) Quote Link to comment Share on other sites More sharing options...
Vecteevs Posted January 22, 2011 Author Report Share Posted January 22, 2011 man iepriekš bija mysql_real_escape_string, bet vienalga mainija datus. un man tur ir paredzēti cipari ar punktiem piem 4.32 Quote Link to comment Share on other sites More sharing options...
php newbie Posted January 22, 2011 Report Share Posted January 22, 2011 tas (int) ir ok. kur kverijā sūti int, izmanto (int), kur padod string izmanto mysql_real_escape_string. kur izvadi lietotāja ievadītos datus, izmanto htmlspecialchars, lai nevarētu javascriptu rakstīt(xss) vēl minējums: pārbaudi vai lietotājam ir tiesības labot ierakstu ar to id, jo padod tev var jebkuru id ne tikai to kuram ir poga lapā :) Quote Link to comment Share on other sites More sharing options...
codez Posted January 22, 2011 Report Share Posted January 22, 2011 Kā tu zini, ka datus maina ar SLQ injekcijām? Ja tas ir tikai tavs minējums, tad ieteiktu sākumā pārbaudīt, vai tas minējums ir pareizs, teiksim logojot visus kverijus un tad jau tajos varēs atras, ko un kā liekot tika izmainīti dati un acīmredzams kļūs arī risinājums. Quote Link to comment Share on other sites More sharing options...
Vecteevs Posted January 22, 2011 Author Report Share Posted January 22, 2011 (edited) par to logošanu nebiju iedomājies. Iečekošu un tad ziņošu kas par problēmu bija. Un vēl, datus maina tādus, kuri nemaz nav domāti mainīšanai un nav viņu vispār kodā :( Edited January 22, 2011 by Vecteevs Quote Link to comment Share on other sites More sharing options...
ezis Posted January 22, 2011 Report Share Posted January 22, 2011 par to logošanu nebiju iedomājies. Iečekošu un tad ziņošu kas par problēmu bija. Un vēl, datus maina tādus, kuri nemaz nav domāti mainīšanai un nav viņu vispār kodā :( wtf? Tev maina failā skriptus? o0 Quote Link to comment Share on other sites More sharing options...
Vecteevs Posted January 22, 2011 Author Report Share Posted January 22, 2011 nu datubāzē stāv piemēram telefona numurs un man nav paredzets vispar ka vinju var mainit. Nav tadas darbibas skriptā kas vinju varetu nomainit Quote Link to comment Share on other sites More sharing options...
codez Posted January 22, 2011 Report Share Posted January 22, 2011 Visdrīzāk jau jāskatās, vai kaut kur nenolasa pliku config failu ar datu bāzes host, user un password datiem. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.