Sql befecskendezés

Szita Szilárd · 2013. Ápr. 14. (V), 19.46

Sziasztok unatkoztam ma egy picit beleolvastam egy könyveb és volt ott szó a weblapok feltöréséről és tök könnyen feltudtam törni a login felületemet,hogy tudom ezt megakadályozni?
Az alábbi módon jutottam be az oldalra

 ' OR ' 1 ' = ' 1

Próbáltam itt az oldalon belépéskor,de itt hibát adott vissza :D
Nálam meg belép,de ha rossz nevet adok meg akkor nemlépbe

■

csirip

Valami olyat keress, hogy

H.Z. · 2013. Ápr. 14. (V), 19.56

Valami olyat keress, hogy mysql escape!
(bocs, a PHP hagyományos, régi mysql interface-ét nem ismerem)

Másik, hogy átállsz pl. PDO használatra és ú.n. prepared statementeket használsz, ott nincs szükség escape-elésre.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Helló

Szita Szilárd · 2013. Ápr. 14. (V), 20.01

Az alábbi dolgokat megtettem
de ugyan úgy belép :D Hát az objektumokhoz nem nagyon értek még :)



$username = stripslashes($username);
$password = stripslashes($password);
$username = mysql_real_escape_string($username);
$password = mysql_real_escape_string($password);

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Így nem lépbe

Szita Szilárd · 2013. Ápr. 14. (V), 20.31


$sql = 'SELECT * FROM `'.($tbl_name).'` WHERE `username`="'.$username.'"AND`password`="'.($password).'"'; 
$result = mysql_query($sql);

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Írasd ki

Pepita · 2013. Ápr. 16. (K), 01.29

Hogyhogy?
Ha ezt a $sql-t kiíratod, akkor látod, hogy "-ek közt vannak az értékek. Miért? Miért nem '?
Én tennék még legalább az AND elé és mögé szóközöket, ill. az = köré. Ez mondjuk csak "külalak".

Remélem használod továbbra is a mysql_real_escape_string-et. Próbáld ki speciális karakterekkel (pl. \<?) is, hátha az a stripcslashes nem jó oda!

A hozzászóláshoz regisztráció és belépés szükséges
új téma

trim

Alex Black · 2013. Ápr. 16. (K), 01.40

Üdv mindenkinek én még általában a trim()-et is szoktam használni ilyenkor,hogy még white space-k se legyenek :)

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Miért ne?

Pepita · 2013. Ápr. 16. (K), 03.43

Ha én nem regisztrálhatok a honlapodon space-kezdetű felhasználónévvel, már nem is megyek! :)
De password esetében tényleg meg kell engedni. Legalább nehezebben írja fel cédulára...

A hozzászóláshoz regisztráció és belépés szükséges
új téma

PDO

Szita Szilárd · 2013. Ápr. 16. (K), 06.51

Szia átnéztem a pdo-t nem olyan vészes próbálom azt betenni legközelebb!

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Friss blogmarkok

Web Akadálymentesítési Útmutató (WCAG) 2.1 – nyilvános munkaterv – Megjelent a WCAG (Web Akadálymentesítési Útmutató) 2.1 nyilvános munkaterv (0)
MongoDB Apocalypse Is Here as Ransom Attacks Hit 10,000 Servers – Több tízezer védtelen MongoDB szerverre csaptak le hackerek (2)
12 Signs You’re Working in a Feature Factory – A cél nélküli funkciógyártás néhány tünete (0)
Translatable, custom dates in Twig templates of Drupal 8 – Saját dátumok megjelenítése, fordíthatóan a Drupal 8 smink rétegével dolgozva (0)
NativeScript – Cross-Platform Native Development with Javascript – Fejlesszünk natív mobilalkalmazást JavaScripttel (0)
GitHub Security Update: Reused password attack – Érdemes bekapcsolni a kétfaktoros azonosítást, ha a GitHub jelszavunkat más oldalakon is újra felhasználtuk (17)
UX Design könyv – Hogyan tervezz felhasználóbarát és szerethető alkalmazásokat? (0)
Introducing unlimited private repositories – Megváltozik a GitHub díjszabása: minden előfizetéshez korlátlan számú privát repository jár (0)
Drupal 8 Twig: add custom CSS classes to menus (based on menu name) – Saját elképzeléseink szerinti CSS osztályok (automatizált) hozzáadása a Drupal 8 menüihez (0)

tovább»

november 2024
H	K	Sze	Cs	P	Szo	V
28	29	30	31	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	1

november 2024

Sze

Szo

Weblabor

Keresés