Jump to content
php.lv forumi

lauž lapu vaļā


Vecteevs

Recommended Posts

protams, GET mainīgajiem kur ir cipari panjemu ar (int)

rekur piemērs kā man izskatās visi qveriji:

$event = htmlspecialchars($_GET['event']);
$id = (int)$_GET['id'];

if ($event == "confirm") {
   $query = sprintf("UPDATE lauks SET completed='yes' WHERE id='$id'") or die(mysql_error());
   $result = mysql_query($query);
   header("Location: view.php?id=$id");
   exit();

 

Tas sprintf Tev tur neko nedod. ko tad teica Tavi logfaili?

Link to comment
Share on other sites

1: visiem mainīgajiem, kas tiek ievietoti SQL obligāti jāveic mysql_real_escape_string. OBLIGĀTI! Visā skriptā!

2: lasi logfailus, uzzini no kura skripta tieši tiek labota tava db.

3: ja nevari atrast, izpildi 1. un 2. punktu.

4: nomaini SQL paroli. Standartā vismaz 12 simboli- lielie, mazie burti, skaitļi.

5: mysql paroles neglabā .txt failā vai jebkādā citā failā, ko var atvērt pārlūkā.

6: Izpildi 2. punktu. Šoreiz kārtīgi.

7: Es teicu kārtīgi. Katru rindiņu.

Link to comment
Share on other sites

Kāpēc, F3llony, jānoslogo lieki serveris?

 

$username = mysql_real_escape_sring( $_POST['username'] );
$password = mysql_real_escape_sring( $_POST['password'] );
$time = time(); // Register globals is turned off.


mysql_query("

INSERT INTO `users` ( `username`,`password`, time` )
VALUES ( '{$username}', '{$password}', '{$time}' )
LIMIT 1

") or exit;

Link to comment
Share on other sites

teorētiski arī ftp paroli var uzlikt 1234. tas nenozīmē, ka to vajag darīt

 

Tur jau tā lieta, ka runa ir par konkrēto gadījumu - par gadījumu, ka kaut kas tiek lauzts.

Un, ja user inputs ir int vērtība un tiek typecast-ota, tad tā nav tā vieta, kurā tiek lauzts, ievietojot sql injekciju, tāpēc tev šaja sakarā par to nav taisnība.

Link to comment
Share on other sites

Nu ja tas mainīgais tiek tipecastots ar (int) vai intval(), tad manuprāt nav galīgi nekādas vajadzības viņu vēl eskeipot, ja vien pa vidam starp variabļa izveidošanu un izmantošanu kverijā, netiek veiktas vēl velns-zina-kādas darbības ar to. Iekš int tu nu nekādi SQL injekciju neierakstīsi.

Edited by mad182
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...