Toolbar
Pravilnik foruma
Burek marketing
Najčešća pitanja
Posetite Burek Prodavnicu
Prijava na forum:
Ime:
Lozinka:
Prijavi me trajno:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:

Zatvori
ConQUIZtador
banner
BUREK marketing
*
linktree Burek :: Forumi ::  >  Tehnicki deo foruma  >  Web development ~ Hosting ~ Web zarada
linktree Tema: MySQL i zastita od SQL Injection napada (Moderatori: SerbianFighter, Filip93, Fman)
Trenutno vreme je: 28. Apr 2024, 20:01:52
 nazadnapred
Korisnici koji su trenutno na forumu 0 članova i 1 gost pregledaju ovu temu.


Tema za pitanja o SMF forumu, phpBB2 i phpBB3 forumu, Wordpress i Joomla CMS sistemima!

Za vecinu drugih pitanja nacicete odgovor citajuci Top teme!

Idi dole
Stranice:
1
Počni novu temu Nova anketa Odgovor Štampaj Dodaj temu u favorite Pogledajte svoje poruke u temi
Tema: MySQL i zastita od SQL Injection napada  (Pročitano 2696 puta)
Tema opcije Oceni temu
Dragan362
23. Sep 2011, 21:07:27
Clan u razvoju

Zodijak
Pol
Poruke 31
Browser
Mozilla Firefox 6.0.2
Prilicno sam se iznenadio kada sam na PHP-ovom sajtu video da mysql_real_escape_string ne stiti od SQL Injection napada, pa me interesuje kako da zastitim server?
IP sačuvana
social share
Pogledaj profil
 
Prijava na forum:
Ime:
Lozinka:
Zelim biti prijavljen:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:
Zatvori
Milan97
Poruka #1 25. Sep 2011, 02:21:58
Zvezda u usponu


Zodijak Taurus
Pol Muškarac
Poruke 1348
Zastava Сурдук
OS
Windows 7
Browser
Chrome 14.0.835.186
mob
Nokia N97 Mini
Nesto mozda ovako

if(!is_numeric($_GET['id']))
{
date_default_timezone_set('Europe/Belgrade');
$file pokusaji.txt;
$date date("d F Y : H:i:s");
$ip $_SERVER['REMOTE_ADDR'];
$a fopen($file"a")
fwrite($a"Time: $date IP: $ip \n")
echo("Pokusaj hakerskog napada! Vas napad je snimljen!")
}?>

Samo 'id' zameni sa onim gde moze da se izvrsi Inekcija... (vrv znas na sta mislim)

Ovaj ti odmah i belezi napar (tj. IP, i Datum)
Ali na server stavi chmod za pokusaji.txt na 0777....


Pozzz
IP sačuvana
social share
Pogledaj profil Skype
 
Prijava na forum:
Ime:
Lozinka:
Zelim biti prijavljen:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:
Zatvori
Dragan362
Poruka #2 26. Sep 2011, 14:22:30
Clan u razvoju

Zodijak
Pol
Poruke 31
OS
Windows XP
Browser
Opera 11.51
Ovo resenje hvata svaki svaki non-numeric string i belezi ga kao napadaca.
Msm postojili neka PHP funkcija ili skript koji filtrira string koji se salje serveru?
IP sačuvana
social share
Pogledaj profil
 
Prijava na forum:
Ime:
Lozinka:
Zelim biti prijavljen:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:
Zatvori
Milan97
Poruka #3 28. Sep 2011, 01:15:20
Zvezda u usponu


Zodijak Taurus
Pol Muškarac
Poruke 1348
Zastava Сурдук
OS
Windows 7
Browser
Chrome 14.0.835.186
mob
Nokia N97 Mini
<?php
$idd=$_GET["id"];
$zabranjen="'";
$nadjeno strpos($idd$zabranjen);
if($nadjeno == true)
{
date_default_timezone_set('Europe/Belgrade');
$file pokusaji.txt;
$date date("d F Y : H:i:s");
$ip $_SERVER['REMOTE_ADDR'];
$a fopen($file"a")
fwrite($a"Time: $date IP: $ip \n")
echo("Pokusaj hakerskog napada! Vas napad je snimljen!")
}
?>


Nesto sam nabrzaka napisao, nisam testirao, ali verujem da radi... Jedino nisam siguran za ovo
$zabranjen="'";
jer, vidis, tu su znaci navoda, pa apostrof sa kojim se obicno proverava vuln na SQL...

Ako ne radi, onda nzm, probaj da menjas znake navoda (sa apostrofom) i slicno...

Dao sam ti osnovu, pa sada ti probavaj...
« Poslednja izmena: 28. Sep 2011, 01:17:20 od Milan97 »
IP sačuvana
social share
Pogledaj profil Skype
 
Prijava na forum:
Ime:
Lozinka:
Zelim biti prijavljen:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:
Zatvori
13.prase
Poruka #4 01. Okt 2011, 04:12:47
Ucesnik diskusija


Zodijak
Pol Muškarac
Poruke 166
OS
Windows 7
Browser
Mozilla Firefox 6.0.2
mob
Samsung D510
Ako na sajtu koristis samo numericke stringove, probaj sa

settype($string, "integer");

a $string promenis prema potrebi.
IP sačuvana
social share
Pogledaj profil
 
Prijava na forum:
Ime:
Lozinka:
Zelim biti prijavljen:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:
Zatvori
Milan97
Poruka #5 01. Okt 2011, 10:12:50
Zvezda u usponu


Zodijak Taurus
Pol Muškarac
Poruke 1348
Zastava Сурдук
OS
Windows 7
Browser
Chrome 14.0.835.186
mob
Nokia N97 Mini
Ali ocigledno ne radi samo sa numerickim jer mu ovo
if(!is_numeric($_GET['id']))
ne odgovara...
IP sačuvana
social share
Pogledaj profil Skype
 
Prijava na forum:
Ime:
Lozinka:
Zelim biti prijavljen:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:
Zatvori
13.prase
Poruka #6 04. Okt 2011, 21:33:39
Ucesnik diskusija


Zodijak
Pol Muškarac
Poruke 166
OS
Windows 7
Browser
Mozilla Firefox 7.0.1
mob
Samsung D510
Citat: Milan97 01. Okt 2011, 10:12:50
Ali ocigledno ne radi samo sa numerickim jer mu ovo
if(!is_numeric($_GET['id']))
ne odgovara...

Pardon... moja greska
IP sačuvana
social share
Pogledaj profil
 
Prijava na forum:
Ime:
Lozinka:
Zelim biti prijavljen:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:
Zatvori
dejanb
Poruka #7 07. Okt 2011, 11:52:28
Svakodnevni prolaznik


Zodijak Leo
Pol Muškarac
Poruke 407
Zastava Novi Sad
OS
Windows XP
Browser
Chrome 14.0.835.202
mob
Nokia 6131
A da jednostavno iskoristis http://php.net/manual/en/function.htmlentities.php i pretabas sve specijalne karaktere u html kodove i cao?

Ja sam inace to tako radio sto uzmem pa na pocetku, pre izvrsavanja bilo kakvog koda uradim za sve kukije, post i get konverziju u html kodove i cao. Posle samo vratis sve sem apostrofa i navodnika u znakove i cao. Nema vise bojazni, sve je go tekst.
IP sačuvana
social share
PHP scripts written by me never has bugs. It just develops random unexpected features.
Pogledaj profil WWW
 
Prijava na forum:
Ime:
Lozinka:
Zelim biti prijavljen:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:
Zatvori
Dragan362
Poruka #8 07. Okt 2011, 22:18:15
Clan u razvoju

Zodijak
Pol
Poruke 31
OS
Windows XP
Browser
Mozilla Firefox 7.0.1
@dejanb
Mozgao sam i dosao do ovoga
Kod:
<?php
if(empty($_POST['ime']))
{
 echo "<form action='qlogin.php' method='post'>";
 echo "<input type='text' name='ime' value=''><br/>";
 echo "<input type='submit'/>";
 echo "</form>";
}
else 
{
 $x=$_POST['ime'];
 echo "sirov: $x<hr>\n";
 $x htmlentities($xENT_QUOTES);
 echo "prepravljen: $x <hr>\n";
 mysql_connect("""""") or die(mysql_error());
 mysql_select_db("") or die(mysql_error());
 $result mysql_query("SELECT * FROM users WHERE name='$x'") or die(mysql_error());  
if(@mysql_num_rows($result) == 0) {echo "nema rezultata"; die;}
 while($row mysql_fetch_array$result )) {
 echo $row['name']." ".$row['pass']."<br>\n"
}
?>
Sta mislite o ovome osim da treba treba voditi racuna kod inserta.
Evo i slike:

Fajlovi prikačeni uz poruku (kliknite na slike za punu veličinu)

za-burek.JPG
(28.79 KB, 728x486)
« Poslednja izmena: 07. Okt 2011, 22:23:25 od Dragan362 »
IP sačuvana
social share
Pogledaj profil
 
Prijava na forum:
Ime:
Lozinka:
Zelim biti prijavljen:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:
Zatvori
dejanb
Poruka #9 08. Okt 2011, 06:28:25
Svakodnevni prolaznik


Zodijak Leo
Pol Muškarac
Poruke 407
Zastava Novi Sad
OS
Windows XP
Browser
Chrome 14.0.835.202
mob
Nokia 6131
E, tako sam slicno nesto ja radio... Evo, nasao sam svoj stari kod... Smiley

Kod:
foreach ($_POST as $key => $val){
$_POST["$key"]  = htmlspecialchars(stripcslashes($val),ENT_QUOTES,"UTF-8");
}
foreach ($_GET as $key => $val){
$_GET["$key"]   = htmlspecialchars(stripcslashes($val),ENT_QUOTES,"UTF-8");
}
foreach ($_COOKIE as $key => $val){
$_COOKIE["$key"]   = htmlspecialchars(stripcslashes($val),ENT_QUOTES,"UTF-8");
}

Uvek mozes izbeci rewrite $_POST, $_GET i $_COOKIE, definisuci neke nove stringove koje ces kasnije koristiti...
IP sačuvana
social share
PHP scripts written by me never has bugs. It just develops random unexpected features.
Pogledaj profil WWW
 
Prijava na forum:
Ime:
Lozinka:
Zelim biti prijavljen:
Trajanje:
Registruj nalog:
zaboravili ste šifru?
Ime:
Lozinka:
Ponovi Lozinku:
E-mail:
Zatvori
Idi gore
Stranice:
1
Počni novu temu Nova anketa Odgovor Štampaj Dodaj temu u favorite Pogledajte svoje poruke u temi
linktree Burek :: Forumi ::  >  Tehnicki deo foruma  >  Web development ~ Hosting ~ Web zarada
linktree Tema: MySQL i zastita od SQL Injection napada (Moderatori: SerbianFighter, Filip93, Fman)
Trenutno vreme je: 28. Apr 2024, 20:01:52
 nazadnapred
Prebaci se na:  

Poslednji odgovor u temi napisan je pre više od 6 meseci.  

Temu ne bi trebalo "iskopavati" osim u slučaju da imate nešto važno da dodate. Ako ipak želite napisati komentar, kliknite na dugme "Odgovori" u meniju iznad ove poruke. Postoje teme kod kojih su odgovori dobrodošli bez obzira na to koliko je vremena od prošlog prošlo. Npr. teme o određenom piscu, knjizi, muzičaru, glumcu i sl. Nemojte da vas ovaj spisak ograničava, ali nemojte ni pisati na teme koje su završena priča.
web design

Forum Info: Banneri Foruma :: Burek Toolbar :: Burek Prodavnica :: Burek Quiz :: Najcesca pitanja :: Tim Foruma :: Prijava zloupotrebe

Izvori vesti: Blic :: Wikipedia :: Mondo :: Press :: Naša mreža :: Sportska Centrala :: Glas Javnosti :: Kurir :: Mikro :: B92 Sport :: RTS :: Danas

Prijatelji foruma: Triviador :: Domaci :: Morazzia :: TotalCar :: FTW.rs :: MojaPijaca :: Pojacalo :: 011info :: Burgos :: Alfaprevod

Pravne Informacije: Pravilnik Foruma :: Politika privatnosti :: Uslovi koriscenja :: O nama :: Marketing :: Kontakt :: Sitemap

All content on this website is property of "Burek.com" and, as such, they may not be used on other websites without written permission.

Copyright © 2002- "Burek.com", all rights reserved. Performance: 0.144 sec za 17 q. Powered by: SMF. © 2005, Simple Machines LLC.