הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post - עזרה

DvirCohen · 27-01-09, 22:46

רון הראה לך את אופן השימוש.
אבל שוב, הפונקציה הזאת לא מספיקה.
הפונקציה הזאת לא חוסמת את התו ' אלא רק את התווים <>"&.
מה שאומר שנניח ואתה עושה טופס התחברות עם שאילתה כזאת:

PHP קוד:


			
$user = htmlspecialchars($_POST['user']);

$pass = htmlspecialchars($_POST['pass']);



$q = mysql_query("SELECT * FROM `members` WHERE `user` = '".$user."' AND `pass` = '".$pass."'");

אני עדיין יוכל להזריק לך דבר כזה:

קוד:

' OR 'a'='a

והשאילתה תהיה:

קוד:

SELECT * FROM `members` WHERE `user` = 'something' AND `pass` = '' OR 'a'='a'

27-01-09, 22:46	# 9
DvirCohen חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 151	רון הראה לך את אופן השימוש. אבל שוב, הפונקציה הזאת לא מספיקה. הפונקציה הזאת לא חוסמת את התו ' אלא רק את התווים <>"&. מה שאומר שנניח ואתה עושה טופס התחברות עם שאילתה כזאת: PHP קוד: $user = htmlspecialchars($_POST['user']); $pass = htmlspecialchars($_POST['pass']); $q = mysql_query("SELECT * FROM `members` WHERE `user` = '".$user."' AND `pass` = '".$pass."'"); אני עדיין יוכל להזריק לך דבר כזה: קוד: ' OR 'a'='a והשאילתה תהיה: קוד: SELECT * FROM `members` WHERE `user` = 'something' AND `pass` = '' OR 'a'='a'