Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: hack - kasowanie baz danych przez formularze
Forum PHP.pl > Forum > PHP
koskitos
2.09.2005, 17:42:37
temat będzie służył informacji, jakie są skutki złego zabezpieczenia formularzy - aby mieć świadomość [nie służy on złym praktykom]

załóżmy, że niedoświadczony webmaster użył formularza i potem go nie zabezpieczył.

Tekst jest tak dodawany do bazy jak go wpiszę - żadne znaki nie są zamieniane żadnymi funkcjami (htmlspecialchars, striptags, itp.).

W tym formularzu użył polecenia INSERT.

Jak można skasować mu bazę danych lub narobić bigosu?

załóżmy:
[PHP] pobierz, plaintext 
  1. <?php
  2. $query = 'INSERT INTO tabela values('.$a.')';
  3. ?>
[PHP] pobierz, plaintext


a jak w przypadku:
[PHP] pobierz, plaintext 
  1. <?php
  2. $query = 'INSERT INTO tabela values("'.$a.'")';
  3. ?>
[PHP] pobierz, plaintext


questionmark.gif?
sf
2.09.2005, 17:47:19
LOL, a moze skasuj sobie mozg?tongue.gif
aleksander
2.09.2005, 17:51:43
koskitos: ostrzezenie za łamanie regulaminu

PS:nawet jesli "nie służy on złym praktykom" to naucz sie kozystac z wyszukiwarki:
http://forum.php.pl/index.php?showtopic=23258

sf: a Ty moze przestaniesz nabijac posty? jest taka fajna funkcja Raportuj, skozystaj z niej kiedys...

zamykam
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.