1. RayOfLight - 11 Марта, 2009 - 15:19:40 - перейти к сообщению
При добавлении к ссылке %27 (или ' ), появляется ошибка доступа к БД (это понятно почему =) ). Но вот как можно с этого момента получить доступ к БД??
2. EuGen - 11 Марта, 2009 - 15:31:17 - перейти к сообщению
А зачем Вам это?
Если это Ваш сайт, то исправьте ошибку при помощи mysql_real_escape_string
Если нет - сообщите владельцам об ошибке.
Если это Ваш сайт, то исправьте ошибку при помощи mysql_real_escape_string
Если нет - сообщите владельцам об ошибке.
3. RayOfLight - 11 Марта, 2009 - 15:36:57 - перейти к сообщению
EuGen
А как именно исправить, можно поподробнее? И все-таки хотелось бы знать, как можно так получить доступ исключительно в целях самообразования =)
А как именно исправить, можно поподробнее? И все-таки хотелось бы знать, как можно так получить доступ исключительно в целях самообразования =)
4. EuGen - 11 Марта, 2009 - 15:39:48 - перейти к сообщению
Экранировать все переменные, которые участвуют в формировании запроса, при помощи указанной функции.
Исключительно в целях образования почитайте про SQL и права доступа в MySQL и все поймете сами.
Исключительно в целях образования почитайте про SQL и права доступа в MySQL и все поймете сами.
5. RayOfLight - 11 Марта, 2009 - 15:48:16 - перейти к сообщению
А почему именно mysql_real_escape_string, a не mysql_escape_string ?
6. EuGen - 11 Марта, 2009 - 15:52:35 - перейти к сообщению
Цитата:
Функция идентична mysql_real_escape_string(), исключая то, что mysql_real_escape_string() принимает параметром ещё и указатель на соединение и экранирует в зависимости от кодировки. mysql_escape_string() не делает этого и результат работы не зависит от кодировки, в который вы работаете с БД.
Функция идентична mysql_real_escape_string(), исключая то, что mysql_real_escape_string() принимает параметром ещё и указатель на соединение и экранирует в зависимости от кодировки. mysql_escape_string() не делает этого и результат работы не зависит от кодировки, в который вы работаете с БД.
- дело в кодировке.
7. RayOfLight - 11 Марта, 2009 - 15:54:33 - перейти к сообщению
EuGen
Все ясно, спасибо )
Все ясно, спасибо )
8. Гость - 11 Марта, 2009 - 20:46:00 - перейти к сообщению
Насколько я помню 27смивол это Ctrl+Z который означает конец ввода
Но дыру в безопасности PHP представлет вроде бы как 0 символ при его передачи там можно читерить было (Например доабвляя в конец запроса для функции fopen() нудлевой символ можно было исполнять различные системные команды) но в PHP5 эту дуры убрали
И помните что лучшая защита это установка правильных прав доступа чтобы если что взломали то мало навредить смогли
Но дыру в безопасности PHP представлет вроде бы как 0 символ при его передачи там можно читерить было (Например доабвляя в конец запроса для функции fopen() нудлевой символ можно было исполнять различные системные команды) но в PHP5 эту дуры убрали
И помните что лучшая защита это установка правильных прав доступа чтобы если что взломали то мало навредить смогли