XSS un SQL injekcijas..

[Vebers]

Cik reāli ir dabūt no datubāzes k-ko vairāk ārā ja lietotājam ir iespēja manipulēt ar SQL pieprasījumu no URLja ? un ir redzams redzultāts, ja SQL pieprasījusm ir kļūdains?

 

Piemēram, no šāda pieprasījuma ?

select desc_txt from products_desc_full where desc_id = '164' and products_id = '12056' and languages_id='4'

 

Šai gadījumā iespējams manipulēt ar 12056 un netiek pielietots mysql_real_escape_string un citas funkcijas ?

Edited January 16, 2006 by MakaTaNaw

[Klez]

iedod kveriju kas tev izvada tabulas struktuuru ... un ja attieciiigajam userim buus tiesiibas, tad var dariit to ko tiesiibas atljauj ,,, :)

Edited January 16, 2006 by Klez

[Vebers]

emm.. atvainojos par samērā muļķīgu jautājumu, bet kāds izskatīsies tas kverijs ? :)

[Grey_Wolf]

da jebkas ....

datu dzeeshana/mainiishana

tabulu likvideeshana utt...

[bubu]

Nu piemēram šādu stringu padodod tā 12056 vietā:

' or 1 or '

(ar visiem ')

[Vebers]

bubu, tad atmet uz iepriekšējo lapu..

bet piem ja ierakstu ' bla, bla '

tad parādas tāda kļūda:

1064 - You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'bla, bla'' and languages_id='4'' at line 1

select desc_txt from products_desc_full where desc_id = '348' and products_id = '28449' bla, bla'' and languages_id='4'

 

 

P.S. bubu, kā Tev izdodas forumā ierakstīt iekrāsotu SQL pieprasījumu ? :)

[bubu]

[ sql ] bbtagi.

Nu errorus jau nav māksla dabūt :)

 

A kāpēc atmet uz iepriekšējo lapu? Vienīgi varbūt tāds kods ir paredzēts. Atkarīgs jau ko dara ar selekta rezultātiem. Es biju domājis, ka izvada tos ārā. Tad tas ievadītas vienk izvadītu visus abulas ierakstus, ne tikai kuri atbilst tiem WHERE nosacījumiem.

[Vebers]

Atmet uz iepriekējo lapu laikam tāpēc ka nav dots $_GET['id'].. (pirms pieprasa no SQL droši vien ka pārbauda.

 

Un tos rezultātus izvada lapā arā cik nojaušu, jo tiek attēloti produkta apraksts... (smukā formatētā html tabulā)

[bubu]

Dzi, pēc taviem tekstiem man tagad liekas, ka tā nav tava lapa, ko tu tur jauc.. Tā nav labi. Ja radīsies lielāka aizdoma, tad topiks pazudīs.

[Vebers]

Tad formatēšu savu jautājumu savādāk. Vai pēc dotā sql pieprasījuma var attēlot no sql dabūtos datus (tabulas saturu), piemēram, uz teksta failu ?

[hu_ha]

Vai pēc dotā sql pieprasījuma var attēlot no sql dabūtos datus (tabulas saturu), piemēram, uz teksta failu ?

Var

 

Principā, lai neradītu liekas problēmas, lapas ir jātaisa, ka linkā tiek padots skaitlis. (protams, ja tas ir iespējams - nav pieprasījums pēc teksta meklēšanas utt.) Skaitli var viegli pārbaudīt etc.

 

Ja tiek likts teksts, tad varam definēt simbolus, kas ir atļauti [a-Z] un ar problēmas nebūs. Kad vajag ievadīt semikolu vai apostrofus, tas jau ir retāks variants - tad var attiecīgi ar php līdzekļiem eskeipot pēdiņas..

[Vebers]

Nu ar ar mysql_real_escape_string un htmlspecialchars taču pietiek, lai izbēgtu no injekcijām, vai ne?

[bubu]

htmlspecialchars nav nekāda sakara ar SQL injekcijām.

Pietiek ar kveriju eskeipošanu (vai parametru bindošanu: mysqli_stmt_bind_param)

[Vebers]

Ar htmlspecialchars var pārveidot apostrofus, kurus padod caur $_GET, $_POST, etc, lai izbēgtu no injekcijām. Piem., ' OR ' pārveodps par ' OR ' [apmēram tā] un ' vairs nav "indīgs" SQL pieprasījumam.

[Klez]

ar magiskajaam kvotaam ar var ... magick_quota .. vai kaa vinsh slashu pieliek priexaa .... ja caur get/post ienaak ' vai " tad kverijaa jau ira \' \"