הצילו!! חור אבטחה שגיליתי!! (PHP) - תעזרו לי בבקשה... - הוסטס

-VladK- · 14-06-06, 12:22

שלום..
היום קראתי מאמר לא קצר על שפת הSQL... שם נאמר כיצד ניתן לפרוץ בשימוש בSQL...
עכשיו שם נאמר שאם יש לי שיאלתה כזאת:
SELECT * FROM table WERE use='a' OR a='a'
אז הוא יחשיב את זה ככאילו שהקלדתי שם משתמש נכון...
מה לעשות? כיצד אפשר למנוע שימוש בפסיקים וזה?

בניה · 14-06-06, 12:25

ב"ה

במשתנים שאתה מקבל מטפסים שעלולים להיות מסוכנים תעשה החלפה של הסימנים הללו בתווי הASCII שלהם.

-VladK- · 14-06-06, 12:30

איפה אני יכול למצוא רשימה של כל התווים והקוד הASCI שלהם?

sUP · 14-06-06, 13:02

www.asciitable.com

=]

meshuga · 14-06-06, 13:07

ציטוט:

נכתב במקור על ידי CriSis

איפה אני יכול למצוא רשימה של כל התווים והקוד הASCI שלהם?

...קראת את הSQL INJECTION של UNDERWAR.......בסדר, פשוט תלמד להשתמש ב
mysql_escape_string והכל יהיה בסדר.

-VladK- · 14-06-06, 13:17

מה הפונקציה הזאת עושה?

בניה · 14-06-06, 13:57

ב"ה

מחליפה את התווים הבעיתיים לבד.

-VladK- · 14-06-06, 14:14

תודה! אבל אם ירשמו OR או WHERE או LIKE או כל דבר אחר?

בניה · 14-06-06, 14:19

ב"ה

זה לא ישנה כי זה יהיה בתוך סוגריים או גרשיים אז הMYSQL יתיחס לזה כמחרוזת.

-VladK- · 14-06-06, 14:22

ואם אני יכתוב:
' OR a='a
אז מה הוא יראה?

ואילו תווים הוא יחליף? את הגרשים, גרש, והגרש העקום? (`)

14-06-06, 12:22	# 1
-VladK- הוסטסניון מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 34 הודעות: 2,182	הצילו!! חור אבטחה שגיליתי!! (PHP) - תעזרו לי בבקשה... שלום.. היום קראתי מאמר לא קצר על שפת הSQL... שם נאמר כיצד ניתן לפרוץ בשימוש בSQL... עכשיו שם נאמר שאם יש לי שיאלתה כזאת: SELECT * FROM table WERE use='a' OR a='a' אז הוא יחשיב את זה ככאילו שהקלדתי שם משתמש נכון... מה לעשות? כיצד אפשר למנוע שימוש בפסיקים וזה?

14-06-06, 12:25	# 2
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	ב"ה במשתנים שאתה מקבל מטפסים שעלולים להיות מסוכנים תעשה החלפה של הסימנים הללו בתווי הASCII שלהם. __________________ קו ישר, כי אפשר גם אחרת

14-06-06, 13:02	# 4
sUP משתמש תחת חוזה ניסיון. מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אזור חיפה הודעות: 1,948	www.asciitable.com =] __________________ לפרטים נוספים dani3l@gmail.com (אימייל)

14-06-06, 13:57	# 7
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	ב"ה מחליפה את התווים הבעיתיים לבד. __________________ קו ישר, כי אפשר גם אחרת

14-06-06, 14:19	# 9
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	ב"ה זה לא ישנה כי זה יהיה בתוך סוגריים או גרשיים אז הMYSQL יתיחס לזה כמחרוזת. __________________ קו ישר, כי אפשר גם אחרת


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

14-06-06, 12:30	# 3
-VladK- הוסטסניון מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 34 הודעות: 2,182	איפה אני יכול למצוא רשימה של כל התווים והקוד הASCI שלהם?

14-06-06, 13:17	# 6
-VladK- הוסטסניון מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 34 הודעות: 2,182	מה הפונקציה הזאת עושה?

14-06-06, 14:14	# 8
-VladK- הוסטסניון מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 34 הודעות: 2,182	תודה! אבל אם ירשמו OR או WHERE או LIKE או כל דבר אחר?

14-06-06, 14:22	# 10
-VladK- הוסטסניון מיני פרופיל תאריך הצטרפות: Apr 2006 גיל: 34 הודעות: 2,182	ואם אני יכתוב: ' OR a='a אז מה הוא יראה? ואילו תווים הוא יחליף? את הגרשים, גרש, והגרש העקום? (`)

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)

כלים לאשכול
הצגת גרסת הדפסה שלח דף זה באימייל
תצורת הצגה
עבור למצב קווי עבור לתצורה משולבת עבור לתצורת אשכולות