lauž lapu vaļā

Vecteevs · January 22, 2011

Sveiki, problēma tāda, ka kāds visu laiku uzlauž lapu vai veic sql injekcijas un tādejādi labo datubāzes ierakstus. Kādi varētu būt risinājumi? Kāds var privāti pieteikties palīdzēt? Iedošu lapas adresi un varētu paskatīties kur ir kāds "caurums" un paskatīšos ko tur var darīt. Visus POST un GET datus esmu eskeipojis un vairs galīgi nevaru saprast kur ir problēma :(

rebuilder · January 22, 2011

kas pa lapu?

daGrevis · January 22, 2011

Fn mysql_real_escape_string() ir?

Vecteevs · January 22, 2011

protams, GET mainīgajiem kur ir cipari panjemu ar (int)

rekur piemērs kā man izskatās visi qveriji:

$event = htmlspecialchars($_GET['event']);
$id = (int)$_GET['id'];

if ($event == "confirm") {
   $query = sprintf("UPDATE lauks SET completed='yes' WHERE id='$id'") or die(mysql_error());
   $result = mysql_query($query);
   header("Location: view.php?id=$id");
   exit();

rebuilder · January 22, 2011

:D nav brīnums, ka lauž :D

10s jautājums :DD

daGrevis jau pateica, kas jādara.

Kemito · January 22, 2011

in_val() ?

mysql_real_escape_string()

htmlspecialchars()

Vecteevs · January 22, 2011

:D nav brīnums, ka lauž :D

10s jautājums :DD

daGrevis jau pateica, kas jādara.

nesapratu :D

rebuilder · January 22, 2011

Tev te jau ir 2 posti, kur teikts, kas ir jādara ;)

Vecteevs · January 22, 2011

man iepriekš bija mysql_real_escape_string, bet vienalga mainija datus. un man tur ir paredzēti cipari ar punktiem piem 4.32

php newbie · January 22, 2011

tas (int) ir ok.

kur kverijā sūti int, izmanto (int), kur padod string izmanto mysql_real_escape_string.

kur izvadi lietotāja ievadītos datus, izmanto htmlspecialchars, lai nevarētu javascriptu rakstīt(xss)

vēl minējums:

pārbaudi vai lietotājam ir tiesības labot ierakstu ar to id, jo padod tev var jebkuru id ne tikai to kuram ir poga lapā :)

codez · January 22, 2011

Kā tu zini, ka datus maina ar SLQ injekcijām?

Ja tas ir tikai tavs minējums, tad ieteiktu sākumā pārbaudīt, vai tas minējums ir pareizs, teiksim logojot visus kverijus un tad jau tajos varēs atras, ko un kā liekot tika izmainīti dati un acīmredzams kļūs arī risinājums.

Vecteevs · January 22, 2011

par to logošanu nebiju iedomājies. Iečekošu un tad ziņošu kas par problēmu bija.

Un vēl, datus maina tādus, kuri nemaz nav domāti mainīšanai un nav viņu vispār kodā :(

Edited January 22, 2011 by Vecteevs

ezis · January 22, 2011

par to logošanu nebiju iedomājies. Iečekošu un tad ziņošu kas par problēmu bija.

Un vēl, datus maina tādus, kuri nemaz nav domāti mainīšanai un nav viņu vispār kodā :(

wtf? Tev maina failā skriptus? o0

Vecteevs · January 22, 2011

nu datubāzē stāv piemēram telefona numurs un man nav paredzets vispar ka vinju var mainit. Nav tadas darbibas skriptā kas vinju varetu nomainit

codez · January 22, 2011

Visdrīzāk jau jāskatās, vai kaut kur nenolasa pliku config failu ar datu bāzes host, user un password datiem.

Sign In

lauž lapu vaļā

Recommended Posts

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Join the conversation