הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post

-roee- · 01-09-06, 11:05

לפני שתתעסק עם הקבצים והשטויות שים לב טוב טוב לשאילתה שלך...

PHP קוד:


			
$query = mysql_query("SELECT * FROM upload where id = '{$_GET['id']}'") or die("error");

לא צריך להיות גאון כדי למחוק לך את הטבלה upload..

אם אני רושם בכתובת:

PHP קוד:


			
blabla.php?id=; DROP TABLE upload

אני פשוט וקל מחוחק את הטבלה..

תשתמש ב intval

01-09-06, 11:05	# 2
-roee- חבר על מיני פרופיל תאריך הצטרפות: Nov 2005 מיקום: IL הודעות: 864	לפני שתתעסק עם הקבצים והשטויות שים לב טוב טוב לשאילתה שלך... PHP קוד: `$query = mysql_query("SELECT * FROM upload where id = '{$_GET['id']}'") or die("error");` לא צריך להיות גאון כדי למחוק לך את הטבלה upload.. אם אני רושם בכתובת: PHP קוד: `blabla.php?id=; DROP TABLE upload` אני פשוט וקל מחוחק את הטבלה.. תשתמש ב intval