Archívum - Jan 18, 2005 - Fórum téma
PHP oktatót keresek
Sziasztok! PHP-ban jártas magánoktatót keresek. Jelentkezést a vizicsiga##kukac##vipmail.hu. A levélben kérlek írd meg, hogy van e tapasztalatod oktatás terén.
Köszi: vizicsiga
■ Köszi: vizicsiga
Biztonsági kérdés
Sziasztok!
Amatőr szinten készitgetek egy oldalt PHP és MySQL használatával. Ez ügyben szeretném kérni a hozzáértők segitségét egy biztonsági kérdésben:
Pl. ilyen az egyik megoldásom:
---------------------
<?php
$sqlparancs="SELECT * FROM felhasznaloi_adatok WHERE login_nev = $nev AND login_pass = $jelszo ";
$eredmeny=mysql_query($sqlparancs, $kapcsolat);
// ide jön a php kód többi része...
?>
<form name="login" method="post" action="<?php print($PHP_SELF); ?>">
<input type="text" name="nev" size="10">
<input type="password" name="jelszo" size="10">
<input type="submit" name="Submit" value="Belépés">
</form>
----------------
A profik szerint itt biztonsági rés van. Amivel könnyen meg lehet tenni bármit az adatbázisommal, vagy ki lehet listázni a PHP kódot és hasonlók.
Én ezzel próbálkoztam, trükközgettem, de egy MySQL szintaktikai hibán kívül nem tudtam mást elérni. Én nem értek hozzá annyira hogy ennél többet el tudjak érni.
Szóval hogy lehet a fenti kódon keresztül az adatbázisomat módosítani vagy egyéb dolgokat megtenni? Ahhoz hogy tenni tudjak ellene, előbb jó lenne ismerni a biztonsági rés kihasználásának módjait is.
Köszönettel:
Vadmancs
vadmancs##kukac##uze.net
■ Amatőr szinten készitgetek egy oldalt PHP és MySQL használatával. Ez ügyben szeretném kérni a hozzáértők segitségét egy biztonsági kérdésben:
Pl. ilyen az egyik megoldásom:
---------------------
<?php
$sqlparancs="SELECT * FROM felhasznaloi_adatok WHERE login_nev = $nev AND login_pass = $jelszo ";
$eredmeny=mysql_query($sqlparancs, $kapcsolat);
// ide jön a php kód többi része...
?>
<form name="login" method="post" action="<?php print($PHP_SELF); ?>">
<input type="text" name="nev" size="10">
<input type="password" name="jelszo" size="10">
<input type="submit" name="Submit" value="Belépés">
</form>
----------------
A profik szerint itt biztonsági rés van. Amivel könnyen meg lehet tenni bármit az adatbázisommal, vagy ki lehet listázni a PHP kódot és hasonlók.
Én ezzel próbálkoztam, trükközgettem, de egy MySQL szintaktikai hibán kívül nem tudtam mást elérni. Én nem értek hozzá annyira hogy ennél többet el tudjak érni.
Szóval hogy lehet a fenti kódon keresztül az adatbázisomat módosítani vagy egyéb dolgokat megtenni? Ahhoz hogy tenni tudjak ellene, előbb jó lenne ismerni a biztonsági rés kihasználásának módjait is.
Köszönettel:
Vadmancs
vadmancs##kukac##uze.net