Jump to content
php.lv forumi

lauž lapu vaļā


Vecteevs

Recommended Posts

Sveiki, problēma tāda, ka kāds visu laiku uzlauž lapu vai veic sql injekcijas un tādejādi labo datubāzes ierakstus. Kādi varētu būt risinājumi? Kāds var privāti pieteikties palīdzēt? Iedošu lapas adresi un varētu paskatīties kur ir kāds "caurums" un paskatīšos ko tur var darīt. Visus POST un GET datus esmu eskeipojis un vairs galīgi nevaru saprast kur ir problēma :(

Link to comment
Share on other sites

protams, GET mainīgajiem kur ir cipari panjemu ar (int)

rekur piemērs kā man izskatās visi qveriji:

$event = htmlspecialchars($_GET['event']);
$id = (int)$_GET['id'];

if ($event == "confirm") {
   $query = sprintf("UPDATE lauks SET completed='yes' WHERE id='$id'") or die(mysql_error());
   $result = mysql_query($query);
   header("Location: view.php?id=$id");
   exit();

Link to comment
Share on other sites

tas (int) ir ok.

 

kur kverijā sūti int, izmanto (int), kur padod string izmanto mysql_real_escape_string.

 

kur izvadi lietotāja ievadītos datus, izmanto htmlspecialchars, lai nevarētu javascriptu rakstīt(xss)

 

vēl minējums:

pārbaudi vai lietotājam ir tiesības labot ierakstu ar to id, jo padod tev var jebkuru id ne tikai to kuram ir poga lapā :)

Link to comment
Share on other sites

Kā tu zini, ka datus maina ar SLQ injekcijām?

Ja tas ir tikai tavs minējums, tad ieteiktu sākumā pārbaudīt, vai tas minējums ir pareizs, teiksim logojot visus kverijus un tad jau tajos varēs atras, ko un kā liekot tika izmainīti dati un acīmredzams kļūs arī risinājums.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...