PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Несанкционированный доступ к БД

Форумы портала PHP.SU » PHP » Программирование на PHP (Модераторы: valenok, OrmaJever, Саныч)

Страниц (1): [1]

Описание: Как это происходит?

Поиск в теме | Версия для печати

RayOfLight	Отправлено: 11 Марта, 2009 - 15:19:40
Новичок Покинул форум Сообщений всего: 47 Дата рег-ции: Дек. 2008 Откуда: Калининград Помог: 0 раз(а)	При добавлении к ссылке %27 (или ' ), появляется ошибка доступа к БД (это понятно почему =) ). Но вот как можно с этого момента получить доступ к БД??

EuGen	Отправлено: 11 Марта, 2009 - 15:31:17
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	А зачем Вам это? Если это Ваш сайт, то исправьте ошибку при помощи mysql_real_escape_string Если нет - сообщите владельцам об ошибке. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

RayOfLight	Отправлено: 11 Марта, 2009 - 15:36:57
Новичок Покинул форум Сообщений всего: 47 Дата рег-ции: Дек. 2008 Откуда: Калининград Помог: 0 раз(а)	EuGen А как именно исправить, можно поподробнее? И все-таки хотелось бы знать, как можно так получить доступ исключительно в целях самообразования =)

EuGen	Отправлено: 11 Марта, 2009 - 15:39:48
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Экранировать все переменные, которые участвуют в формировании запроса, при помощи указанной функции. Исключительно в целях образования почитайте про SQL и права доступа в MySQL и все поймете сами. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

RayOfLight	Отправлено: 11 Марта, 2009 - 15:48:16
Новичок Покинул форум Сообщений всего: 47 Дата рег-ции: Дек. 2008 Откуда: Калининград Помог: 0 раз(а)	А почему именно mysql_real_escape_string, a не mysql_escape_string ?

EuGen	Отправлено: 11 Марта, 2009 - 15:52:35
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Цитата: Функция идентична mysql_real_escape_string(), исключая то, что mysql_real_escape_string() принимает параметром ещё и указатель на соединение и экранирует в зависимости от кодировки. mysql_escape_string() не делает этого и результат работы не зависит от кодировки, в который вы работаете с БД. - дело в кодировке. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

RayOfLight	Отправлено: 11 Марта, 2009 - 15:54:33
Новичок Покинул форум Сообщений всего: 47 Дата рег-ции: Дек. 2008 Откуда: Калининград Помог: 0 раз(а)	EuGen Все ясно, спасибо )

Гость	Отправлено: 11 Марта, 2009 - 20:46:00
УДАЛЁН	Насколько я помню 27смивол это Ctrl+Z который означает конец ввода Но дыру в безопасности PHP представлет вроде бы как 0 символ при его передачи там можно читерить было (Например доабвляя в конец запроса для функции fopen() нудлевой символ можно было исполнять различные системные команды) но в PHP5 эту дуры убрали И помните что лучшая защита это установка правильных прав доступа чтобы если что взломали то мало навредить смогли

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Программирование на PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.