Parašė Kelmas· 2010 Bal. 21 16:04:13
#11
Tyler parašė:
Sveiki radau viena spraga kurios taip sakant naudojant galima i bet koki php fusiona ilisti. Taip taip i bet koki ?|
Jokiu htaccess, blokavimo proxy ar cookies patikrinimas jums nieko nepades :o
Viska galima atlikti pier mysql.....
Noriu tiesiog paklausty ar yra koks nors budas no sql injekciju?
Skaiciau gyda parasyta kad reikia nauduoti mysql_escape_string();
Bet kur ir atlikti as taip ir nesupratau....
Gal kas rysis paaskinti? arba nors pasakyti ka reikia padaryti....
Visu pirma reikia naudoti
mysql_real_escape_string() tokiose variantuose:
dbquery("UPDATE <..> SET <..> WHERE user_name = '".mysql_real_escape_string($_GET['user'])."' LIMIT 1");
Ir panašiose situacijose. O norint turėti apsaugą nuo SQL infekcijų
(nors kažkokia) galima naudoti tokia eilutę:
if (preg_match('/ (SELECT|UNION|INSERT|AND|OR|DELETE|UPDATE|TRUNCATE|TABLE|ORDER|BY|GROUP|ASC|DESC|HAVING|JOIN|DISTINCT) /i', urldecode(FUSION_REQUEST)) || preg_match('/(UNION|SELECT)/i', urldecode(FUSION_REQUEST))) {
die('Jūs bandote atlikti SQL ataką!'); // Šia eilute kiekvienas keičia savaip, jeigu sugeba!
}
Kodą reikėtu dėti po
define(...); (maincore.php) aprašymų.
Redagavo Kelmas· 2010 Bal. 21 16:04:54