0 / 0 / 1
Регистрация: 12.08.2009
Сообщений: 145
|
|
1 | |
Юзернейм и пароль - в нем что то ...?14.06.2010, 13:39. Показов 1539. Ответов 15
Метки нет (Все метки)
Привет... у меня ещё один вопрос... (100% что первыми ответять Веббайт и Сл-плай :-)
можно ли подобрать такой логин и пароль что можно входит на сайт если даже ты не зарегистррирован. Т.е. в лоигне и пароль набрать символы при которм запрос майскл сработает и пропустит юзера-редиску?? Буду признателен за ответ.. :-))
0
|
14.06.2010, 13:39 | |
Ответы с готовыми решениями:
15
отображение в представлении документов по юзернейм Как запустить внешнюю обработку через ярлык программы, не передавая в нем пароль пользователя? Нормально что процессор работает на 3 с лишним ГГц а заявлено что в нем 2ГГц Заразил доки и поставил пароль а пароль забыл, не как его не взломать или не скинуть пароль с архива? |
85 / 61 / 69
Регистрация: 15.03.2007
Сообщений: 6,906
|
|
14.06.2010, 15:05 | 2 |
В смысле есть ли универсальный логин для mySQL? Не волнуйтесь, нет такого.
0
|
0 / 0 / 1
Регистрация: 12.08.2009
Сообщений: 145
|
|
14.06.2010, 15:15 [ТС] | 3 |
нет... у меня ко мне на сайт заходят под логином и паролем...
можно ли найти таоке слово в место пароля и логина чтобы пройти через сиситему. все работает так: mysql_query('select * from users where nick like '$nick' and pass like '$pass''); ну потом далее... можно ли подобрать такой $nick и $pass чтобы пройти заработал этот запрос и выдал какой ник и пароль.... ??????
0
|
4 / 4 / 3
Регистрация: 25.05.2009
Сообщений: 2,576
|
|
14.06.2010, 15:19 | 4 |
ты немного неправильно понял о чём идёт речь.
Логинов и Паролей, таких, как ты описал - несуществует, но, есть специальные символы, которых боится mysql. Поэтому, есть функция addslashes() - она прослешивает всё, что может хоть как-то навредить мусклу, тоесть символы. Ну и при считывании конечно же stripslashes(). Лично я, делаю и то и то, плюс ещё проверяю что ввёл юзверь при регистрации.
0
|
85 / 61 / 69
Регистрация: 15.03.2007
Сообщений: 6,906
|
|
14.06.2010, 15:25 | 5 |
Если $nick и $pass берутся напрямую из формы отправленной пользователем, то при таком запросе можно ввести имя пользователя и пароль равное %. И запрос вернет все записи из таблицы. Поэтому надо использовать запрос вроде
select * from users where nick='$nick' and pass='$pass' предварительно отслешив опасные символы. Далее можно проверить что запрос вернул одну запись или ничего, что будет признаком прохождения аутенификации. Для доп. безопасности можно хранить в базе не значение пароля, а его md5 хеш.
0
|
4 / 4 / 3
Регистрация: 25.05.2009
Сообщений: 2,576
|
|
14.06.2010, 15:28 | 6 |
bazile, можешь подробнее о % ?
0
|
85 / 61 / 69
Регистрация: 15.03.2007
Сообщений: 6,906
|
|
14.06.2010, 15:32 | 7 |
% это спецсимвол используемый в like. Означет любое кол-во любых символов. Еще используется символ _, означающий один символ. Вроде простейших регулярных выражений. Все это верно для любой стандартной реализации SQL.
0
|
4 / 4 / 3
Регистрация: 25.05.2009
Сообщений: 2,576
|
|
14.06.2010, 15:35 | 8 |
если юзверь введёт в поле логин и пароль % что-то может пойти не так?
я просто только что проверил у себя, выдаёт то же, как если юзверь ввёл неверный парол или логин.
0
|
85 / 61 / 69
Регистрация: 15.03.2007
Сообщений: 6,906
|
|
14.06.2010, 15:37 | 9 |
Зависит от кокретной реализации. В принципе может. А у тебя тоже like используется в запросе вместо равно?
0
|
4 / 4 / 3
Регистрация: 25.05.2009
Сообщений: 2,576
|
|
14.06.2010, 15:40 | 10 |
нет, знак =
0
|
85 / 61 / 69
Регистрация: 15.03.2007
Сообщений: 6,906
|
|
14.06.2010, 15:46 | 11 |
Тогда могу только посоветовать внимательнее читать чужие ответы. % и _ имеют особое значение только при использование like. Во всех других случаях они не опаснее любого другого символа. У kazakbala используется именно like, почему я и упомянул про них.
0
|
4 / 4 / 3
Регистрация: 25.05.2009
Сообщений: 2,576
|
|
14.06.2010, 15:48 | 12 |
тогда понятно, спасибо за разъяснения!
0
|
0 / 0 / 1
Регистрация: 12.08.2009
Сообщений: 145
|
|
14.06.2010, 15:55 [ТС] | 13 |
а что со стингами тоже можно использовать =??
ну типа select * from users where name='Андрей' ???
0
|
85 / 61 / 69
Регистрация: 15.03.2007
Сообщений: 6,906
|
|
14.06.2010, 16:34 | 14 |
Да, можно
0
|
0 / 0 / 1
Регистрация: 12.08.2009
Сообщений: 145
|
|
15.06.2010, 07:55 [ТС] | 15 |
mysql. Поэтому, есть функция addslashes() - она прослешивает всё, что может хоть как-то навредить мусклу, тоесть символы. Ну и при считывании конечно же stripslashes().
как их использовать? писатьв пхп или в запросу мускла??
0
|
4 / 4 / 3
Регистрация: 25.05.2009
Сообщений: 2,576
|
|
15.06.2010, 10:49 | 16 |
insert into table values(null,''.addslashes($POST['name']).'')
а потом, после запроса на выборку, когда получишь значение одного из полей stripslashes($fetch_array['column'])
0
|
15.06.2010, 10:49 | |
15.06.2010, 10:49 | |
Помогаю со студенческими работами здесь
16
Можно ли на нем что то хранить? Ророр - кто что о нем скажет? Ассемблер - что на нем можно сделать Разбор класса, что в нем происходит Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |