| | |
| Stránka: 1 z 1
| [ Príspevkov: 11 ] | |
Autor | Správa |
---|
Registrovaný: 18.10.07 Prihlásený: 14.07.11 Príspevky: 107 Témy: 32 |
ak mam stranku na ktorej vyberam data z db napr.
Kód: mysql_query("SELECT meno FROM priezvisko WHERE meno = 'tomas')
iba vyberam data z db. stale vyberam len to meno tomas . nemam tam ziadny input kde by uzivatelia nieco zadavali. hrozi mi tu sql injection ?
|
|
Registrovaný: 30.04.09 Prihlásený: 11.02.10 Príspevky: 723 Témy: 81 |
ako ti moze hrozit sql injection ked nepouzivas ziaden uzivatelsky vstup?
nie nehrozy
ale to meno zrejme beries od uzivatela nie?ak hej tak podla toho ako ho spracujes
|
|
Registrovaný: 18.10.07 Prihlásený: 14.07.11 Príspevky: 107 Témy: 32 | Napísal autor témy Broko71: 01.02.2010 21:43 | |
|
to je len fiktivny priklad. iba vyberiem data z db a zobrazim ich na stranke a chcel som vediet ci mi hrozi sql injection aj v takom pripade, nemal som v tom az tak jasno ale dik za odpoved
|
|
Registrovaný: 18.10.07 Prihlásený: 14.07.11 Príspevky: 107 Témy: 32 | Napísal autor témy Broko71: 05.02.2010 19:07 | |
|
a este jedna otazka. ak mam horeuvedeny sql skript a to meno beriem z nejakeho inputu, ktory mam osetreny pomocou regularnych vyrazov tak, ze mozem vkladat len male a velke pismena, cisla a podtrznik hrozi mi sql injection ?
|
|
Registrovaný: 30.04.09 Prihlásený: 11.02.10 Príspevky: 723 Témy: 81 | |
Registrovaný: 08.10.09 Prihlásený: 25.08.10 Príspevky: 35 Témy: 11 | Napísal pepco2: 05.02.2010 19:36 | |
|
si chcel povedat ze mozno nehrozi, nikdy to neni na 100% bezpecne
|
|
Registrovaný: 18.10.07 Prihlásený: 14.07.11 Príspevky: 107 Témy: 32 | Napísal autor témy Broko71: 05.02.2010 19:43 | |
|
preto sa pytam chcel by som vediet ci ma nieco na 100% ochrani
|
|
Registrovaný: 30.04.09 Prihlásený: 11.02.10 Príspevky: 723 Témy: 81 |
odpovedal som ti jasne, z takto osetreneho vstupu ti sql injection nehrozy.
bud taky dobry a neoznamuj mi co som chcel napisat.
ps.
mozes si editovat prispevky
edit
Citácia: preto sa pytam chcel by som vediet ci ma nieco na 100% ochrani
nie, ale v tomto pripade su tie rgexp neprekonatelne
|
|
Registrovaný: 16.05.07 Prihlásený: 01.08.17 Príspevky: 837 Témy: 6 | Napísal juho: 05.02.2010 19:56 | |
|
to tazko vediet ked nemame potuchy o php verzii ktoru pouzivas a ani to co mas v tabulkach atd. 100% ochrana je 100% nepristupny web.
napr ja mam php take co do retazca prida uvodzovky takze jsVulnerable nehrozi ak chces osetrit mysql pouzi Kód: http://sk.php.net/manual/en/function.mysql-real-escape-string.php ...addslashes uz netreba pri novych php verziach.
|
|
Registrovaný: 18.10.07 Prihlásený: 14.07.11 Príspevky: 107 Témy: 32 | Napísal autor témy Broko71: 05.02.2010 19:59 | |
|
PHP mam najnovsiu verziu 5.nieco neviem presne. preco netreba addslashes ?
a naco v mojom pripade potrebujem do retazca pridat uvodzovky ? ak povolim vkladanie len pismen a cislis ziadne meta znaky nepotrebujem osetrovat
| Nepis viac prispevkov za sebou, pouzivaj tlacitko Uprav. Ďuri
|
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 06.02.2010 9:57 | |
|
juho
To nemas take PHP, to je zapnute magic_quotes_gpc, akesi automaticke addslashes(). Ibaze je to presne naopak, pri novsich verziach prave addslashes treba, kedze magic_quotes su "deprecated" a za chvilu budu odstranene. Vsetko zalezi od nastavenia v php.ini, odporucam si do skriptu zakomponovat taky kod, aby upravoval hodnoty v $_REQUEST podla vysledku fcie get_magic_quotes_gpc().
Broko71
Pokial mas na vstupe len cisla, pismena a podtrznik, nemalo by ti nic hrozit. Nejake mysql_real_escape_string() alebo podobne fcie tu su uplne zbytocne, aj tak by nic nespravili.
|
|
| Stránka: 1 z 1
| [ Príspevkov: 11 ] | |
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| SQL injection v Služby a webstránky | 1 | 293 | 27.02.2014 17:36 walther | | SQL Injection v PHP, ASP | 2 | 678 | 07.01.2010 20:43 rooobertek | | SQL injection v Databázy | 7 | 814 | 11.01.2010 17:17 Antuanet | | SQL Injection ochrana v PHP, ASP | 11 | 555 | 13.02.2014 12:03 GoodWill | | ochrana pred sql injection v PHP, ASP | 28 | 1495 | 12.12.2008 0:49 rooobertek | | sql injection a ine v PHP, ASP | 5 | 471 | 25.02.2010 5:44 rooobertek | | Ochrana pred SQL injection v PHP, ASP | 16 | 1548 | 14.06.2008 17:08 lostwarrior | | Ochrana proti SQL INJECTION v PHP, ASP | 3 | 603 | 16.05.2010 15:29 ac.milan | | Rádiu FM hrozí zrušenie! v Kultúra, umenie, filmy, hudba, história, média | 20 | 1033 | 13.10.2010 19:52 haffen | | Ballmer znovu hrozí Linuxu v Novinky | 1 | 421 | 21.02.2007 18:52 Shit | | Notebooky SONY Vaio hrozí úrazem v Novinky | 4 | 574 | 06.09.2008 15:42 MTK | | Výrobca sťahuje počítačovú skrinku, hrozí požiar v Novinky | 2 | 439 | 15.02.2021 18:39 werwest | | Grafickým kartám XFX hrozí v Nemecku zákaz v Novinky | 4 | 545 | 18.05.2007 15:41 st.jimmy | | Apple hrozí zákaz predaja iPadu aj iPhone v Nemecku v Novinky | 4 | 924 | 10.12.2011 20:25 foxXx | | prosim poradte, hrozi zufalost "net-probl." v Sieťové a internetové programy | 21 | 1246 | 27.05.2008 10:53 Petqo1 | | Skuste v tomto poradit v Pevné disky a radiče | 7 | 911 | 07.01.2007 21:59 jumich |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|