Temos pavadinimas: WordPress, Shopify ir PHPFusion programuotojų bendruomenė :: Apsauga Mysql ir nulauzymas
Parašė Tyler· 2007 Gru. 23 16:12:48
#1
Sveiki radau viena spraga kurios taip sakant naudojant galima i bet koki
php fusiona ilisti. Taip taip i bet koki ?|
Jokiu htaccess, blokavimo proxy ar cookies patikrinimas jums nieko nepades :o
Viska galima atlikti pier
mysql.....
Noriu tiesiog paklausty ar yra koks nors budas no sql injekciju?
Skaiciau gyda parasyta kad reikia nauduoti mysql_escape_string();
Bet kur ir atlikti as taip ir nesupratau....
Gal kas rysis paaskinti? arba nors pasakyti ka reikia padaryti....
Parašė MAnjack· 2007 Gru. 23 16:12:56
#2
Man atrodo naujausiam fusione yra įdėta ši apsauga.
Parašė Tyler· 2007 Gru. 23 17:12:09
#4
skaiciau as ten va tikslus linkas
https://webdnd.com/readarticle.p...icle_id=31
Apsisaugojimas.
Apostrafas pakeicia i "\" kur keisti? as is pradziu nesupratau perskaiciau tiesiog kelis kartus tik tada daejo kur galima tai padaryti.
Kaip ir Regular Expresions taip ir cia blokuoja viska
Su Regular Expresions uzblokoti apostrofus. Tada vapse postus nebus galima rasyt
Idomu kas tokia info sukure :s
Man toks ispudys kad cia isversta is anglu arba rusu....
Apie
mysql kas prie ko parasyta suprantama kaip pasirenka db ir kaip pasirenka lenta.
Bet kaip apsisauguoti tai cia nesuprasi.
Beje admin pats man gali paaskinti kas parasyta? kur ta mysql_escape_string(); reikia panauduoti?
Redagavo Tyler· 2007 Gru. 23 17:12:14
Parašė ahahhh· 2008 Gru. 10 08:12:38
#5
niekas negaletumet parasyt, kaip apsisaugot nuo
mysql injekciju? matau ne vienam man reikia o cia forume niekur nera aiskiai parasyta, tik uzuomina duota :)
Parašė Rytis· 2008 Gru. 10 08:12:34
#6
Pusdurnis...
Parašė ahahhh· 2008 Gru. 10 14:12:15
#7
aciu kad padejai... o jei rimtai tai niekas negalit padet? kur man ta komanda mysql_escape_string(); iterpt reikia? ar i kai koki maincore ar atsidaryt
phpmyadmin ir kiekvienoje lenteleje kai kokia komanda keist i sita?
Parašė tabux· 2008 Gru. 10 18:12:41
#8
Tai kad jau ne 2006 o 2009 tuoj bus, atsiversk maincore.php ir pamatysi kokias apsaugas naudoja.
Parašė NotLost· 2010 Bal. 21 16:04:04
#9
Čia tik test bandymas. :) Nieko blogo nesiukiu. :)
Redagavo Impossibru· 2010 Bal. 21 16:04:45
Parašė edeni· 2010 Bal. 21 16:04:22
#10
NotLost parašė:
Čia tik test bandymas. :) Nieko blogo nesiukiu. :)
Ok moderatoriai trinkit jo postą, nes virusiukas prisegtas ;)))
Parašė Kelmas· 2010 Bal. 21 16:04:13
#11
Tyler parašė:
Sveiki radau viena spraga kurios taip sakant naudojant galima i bet koki php fusiona ilisti. Taip taip i bet koki ?|
Jokiu htaccess, blokavimo proxy ar cookies patikrinimas jums nieko nepades :o
Viska galima atlikti pier mysql.....
Noriu tiesiog paklausty ar yra koks nors budas no sql injekciju?
Skaiciau gyda parasyta kad reikia nauduoti mysql_escape_string();
Bet kur ir atlikti as taip ir nesupratau....
Gal kas rysis paaskinti? arba nors pasakyti ka reikia padaryti....
Visu pirma reikia naudoti
mysql_real_escape_string() tokiose variantuose:
dbquery("UPDATE <..> SET <..> WHERE user_name = '".mysql_real_escape_string($_GET['user'])."' LIMIT 1");
Ir panašiose situacijose. O norint turėti apsaugą nuo SQL infekcijų
(nors kažkokia) galima naudoti tokia eilutę:
if (preg_match('/ (SELECT|UNION|INSERT|AND|OR|DELETE|UPDATE|TRUNCATE|TABLE|ORDER|BY|GROUP|ASC|DESC|HAVING|JOIN|DISTINCT) /i', urldecode(FUSION_REQUEST)) || preg_match('/(UNION|SELECT)/i', urldecode(FUSION_REQUEST))) {
die('Jūs bandote atlikti SQL ataką!'); // Šia eilute kiekvienas keičia savaip, jeigu sugeba!
}
Kodą reikėtu dėti po
define(...); (maincore.php) aprašymų.
Redagavo Kelmas· 2010 Bal. 21 16:04:54
Parašė Nostesi· 2010 Bal. 21 16:04:44
#12
eval apsauga duociau linka taciau sh linkaicia blokuojami :D
o siaip nera l but turejai omenyje joomla ten tai "saugiausia": sistema :D keliem roziau kaip saugiasuai sistema galima shell ikist per 5 min :D