Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Несанкционированный доступ к БД
Покинул форум
Сообщений всего: 47
Дата рег-ции: Дек. 2008 Откуда: Калининград
Помог: 0 раз(а)
При добавлении к ссылке %27 (или ' ), появляется ошибка доступа к БД (это понятно почему =) ). Но вот как можно с этого момента получить доступ к БД??
EuGen
Отправлено: 11 Марта, 2009 - 15:31:17
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
А зачем Вам это?
Если это Ваш сайт, то исправьте ошибку при помощи mysql_real_escape_string
Если нет - сообщите владельцам об ошибке.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
RayOfLight
Отправлено: 11 Марта, 2009 - 15:36:57
Новичок
Покинул форум
Сообщений всего: 47
Дата рег-ции: Дек. 2008 Откуда: Калининград
Помог: 0 раз(а)
EuGen
А как именно исправить, можно поподробнее? И все-таки хотелось бы знать, как можно так получить доступ исключительно в целях самообразования =)
EuGen
Отправлено: 11 Марта, 2009 - 15:39:48
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Экранировать все переменные, которые участвуют в формировании запроса, при помощи указанной функции.
Исключительно в целях образования почитайте про SQL и права доступа в MySQL и все поймете сами.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
RayOfLight
Отправлено: 11 Марта, 2009 - 15:48:16
Новичок
Покинул форум
Сообщений всего: 47
Дата рег-ции: Дек. 2008 Откуда: Калининград
Помог: 0 раз(а)
А почему именно mysql_real_escape_string, a не mysql_escape_string ?
EuGen
Отправлено: 11 Марта, 2009 - 15:52:35
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Цитата:
Функция идентична mysql_real_escape_string(), исключая то, что mysql_real_escape_string() принимает параметром ещё и указатель на соединение и экранирует в зависимости от кодировки. mysql_escape_string() не делает этого и результат работы не зависит от кодировки, в который вы работаете с БД.
- дело в кодировке.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
RayOfLight
Отправлено: 11 Марта, 2009 - 15:54:33
Новичок
Покинул форум
Сообщений всего: 47
Дата рег-ции: Дек. 2008 Откуда: Калининград
Помог: 0 раз(а)
EuGen
Все ясно, спасибо )
Гость
Отправлено: 11 Марта, 2009 - 20:46:00
УДАЛЁН
Насколько я помню 27смивол это Ctrl+Z который означает конец ввода
Но дыру в безопасности PHP представлет вроде бы как 0 символ при его передачи там можно читерить было (Например доабвляя в конец запроса для функции fopen() нудлевой символ можно было исполнять различные системные команды) но в PHP5 эту дуры убрали
И помните что лучшая защита это установка правильных прав доступа чтобы если что взломали то мало навредить смогли
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.