Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Как защититься от sql-иньекции?
Покинул форум
Сообщений всего: 60
Дата рег-ции: Нояб. 2010
Помог: 0 раз(а)
мне недавно человек прислал пароль от пользователя Admin на сайте, говорит может узнать любой пароль. я так понял, он их узнает через sql-иньекцию. подскажите, каким способом можно защититься от иньекций?
Okula
Отправлено: 11 Марта, 2011 - 00:46:32
Участник
Покинул форум
Сообщений всего: 1389
Дата рег-ции: Окт. 2010
Помог: 42 раз(а)
Brajt, функция mysql_real_escape_string();
Toxa
Отправлено: 11 Марта, 2011 - 01:28:43
Посетитель
Покинул форум
Сообщений всего: 352
Дата рег-ции: Окт. 2008
Обьясните мне зачем делать сайт если "ещё не совсем понимаете"?
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
Brajt
Отправлено: 11 Марта, 2011 - 15:19:53
Новичок
Покинул форум
Сообщений всего: 60
Дата рег-ции: Нояб. 2010
Помог: 0 раз(а)
OrmaJever, затем что мне это интересно. и на практике гораздо быстрее можно выучить php, чем сидеть годами на локалке, так и не столкнувшись с подобными проблемами и зная как правильно писать только в теории. (Добавление)
OrmaJever пишет:
$result2 = mysql_query("INSERT INTO `users` (`login`, `pass`) VALUES ('".mysql_real_escape_string($login)."', '".mysql_real_escape_string($pass)."')");
объясните пожалуйста, для чего в этом запросе были добавлены кавычки и точки?
EuGen
Отправлено: 11 Марта, 2011 - 15:35:29
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Brajt пишет:
объясните пожалуйста, для чего в этом запросе были добавлены кавычки и точки?
Это относится к вопросу о конкатенации в php. Конкатенация - это слияние (т.н. "склеивание") строк в php.
Вы динамически формируете текст запроса таким образом. Необходимость такого подхода заключается как раз в том, что Вам нужно отслеживать некорректные данные - применяя к ним mysql_real_escape_string
Таким образом, Вы присоединяете к Вашей строке-запросу параметры уже в безопасном виде. Ну, а кавычки - это формат строк в PHP. Почитайте уроки здесь на форуме про типы данных и операторы в PHP.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
vsll
Отправлено: 11 Марта, 2011 - 16:21:34
Частый посетитель
Покинул форум
Сообщений всего: 530
Дата рег-ции: Февр. 2011
Помог: 10 раз(а)
Цитата:
PASSWORD(str)
Создает строку "пароля" из простого текста в аргументе str. Именно эта функция используется в целях шифрования паролей MySQL для хранения в столбце Password в таблице привилегий user:
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Если посмотреть на запрос:
Brajt пишет:
$result2 = mysql_query("INSERT INTO users (login, pass) VALUES ('mysql_real_escape_string($login)', 'mysql_real_escape_string($pass)')");
- от автора темы, то думаю, ясно, что он пароль хранит в открытом виде и PASSWORD() здесь ни при чем.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
Okula
Отправлено: 11 Марта, 2011 - 16:36:37
Участник
Покинул форум
Сообщений всего: 1389
Дата рег-ции: Окт. 2010
Помог: 42 раз(а)
Vasiliya пишет:
я думаю, что ваш друг узнаёт пароли не через sql инъекции
, всё зависит от того какая система авьторизации на сайте. Если в хеш идёт зашифрованный пароль или пароль + логин то имея данные подменить его не составляет никакого труда.
vsll
Отправлено: 11 Марта, 2011 - 16:43:01
Частый посетитель
Покинул форум
Сообщений всего: 530
Дата рег-ции: Февр. 2011
Помог: 10 раз(а)
Вы правы
Brajt пишет:
мне недавно человек прислал пароль
он же не прислал ему сам подход Okula Напишите, пожалуйста, если не сложно, ваш метод, просто проверить свой сайт
Okula
Отправлено: 11 Марта, 2011 - 16:44:33
Участник
Покинул форум
Сообщений всего: 1389
Дата рег-ции: Окт. 2010
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.