0 / 0 / 0
Регистрация: 12.04.2014
Сообщений: 4
|
|
1 | |
SQL injection12.04.2014, 03:23. Показов 837. Ответов 7
Метки нет (Все метки)
Привет, ребята.
Помогите разобраться. Слили таблицу(в mysql), скорее всего через инъекцию. Дыру вроде как нашел, подскажите, как слить всю таблицу через инъекцию? К сожалению логирование запросов было выключено.
0
|
12.04.2014, 03:23 | |
Ответы с готовыми решениями:
7
TinyMCE и SQL Injection Magic_quotes и injection SQL injection SOS !!! Проверка на sql injection |
3687 / 964 / 114
Регистрация: 10.01.2010
Сообщений: 2,550
|
|
13.04.2014, 20:31 | 2 |
Я думаю индивидуально. Вы лучше уточните уязвимый код, подскажем как обезопасить
1
|
0 / 0 / 0
Регистрация: 12.04.2014
Сообщений: 4
|
|
13.04.2014, 23:27 [ТС] | 3 |
insideone, обычный select по id и вывод колонок на страничку. Везде проверял на число, а на дырявой страничке забыл.
insideone, подскажите, правильно ли я защищаюсь от sql? Я числовые данные проверяю на число, строковые экранирую mysql_real_escape_string.
0
|
701 / 573 / 59
Регистрация: 18.11.2008
Сообщений: 2,147
|
|||||||||||
14.04.2014, 07:15 | 4 | ||||||||||
СТРОКА:
1
|
5753 / 4133 / 1507
Регистрация: 06.01.2011
Сообщений: 11,276
|
|
14.04.2014, 10:52 | 5 |
Защищаетесь от SQL?
Ну смысл понятен. Вот это правильно. Но лучше использовать mysqli. Только не ясно, как вы проверяете на число. Но выше Вам показали, как приводить данные к числовому типу. Если вы приводили так же - то правильно.
1
|
0 / 0 / 0
Регистрация: 12.04.2014
Сообщений: 4
|
||||||
14.04.2014, 17:06 [ТС] | 6 | |||||
Всем спасибо!
lyod, я опечтался, конечно же от sql инъекций. Числа так и проверяю, как в примере выше. Можете объяснить суть
0
|
5753 / 4133 / 1507
Регистрация: 06.01.2011
Сообщений: 11,276
|
||||||
16.04.2014, 07:33 | 7 | |||||
А суть проста. В PHP до версии 5.4.0 была такая функция, как автоматическое экранирование входящих данных (а точнее в них экранировались одинарные и двойные кавычки, обратный слеш и NUL). Так вот, если в php.ini она была включена - то вышеупомянутые символы проэкранируются автоматически (спереди к ним обратный слэш добавится). И если мы проведём данные через mysqli_real_escape_string, все спецсимволы (включая только что добавленные слэши), проэкранируются снова. А это неправильно, нам это не нужно. Так вот, в данном случае:
Если Ваша версия php >= 5.4.0 - можете эту строку не использовать.
1
|
0 / 0 / 0
Регистрация: 12.04.2014
Сообщений: 4
|
|
17.04.2014, 19:49 [ТС] | 8 |
Спасибо, разобрался. У меня PHP 5.4.9.
0
|
17.04.2014, 19:49 | |
17.04.2014, 19:49 | |
Помогаю со студенческими работами здесь
8
Подозрение на SQL-injection WYSIWYG защита от sql, xss injection SQL Injection INSERT новая запись Взможна ли в JDBC атака типа SQL Injection? Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |