| Subiectul anterior :: Subiectul următor |
| Autor |
Mesaj |
anakyn
Data înscrierii: 07/Iun/2007
Mesaje: 5
|
| Trimis: Joi Iun 07, 2007 7:16 am Titlul subiectului: SQL Injection Detected |
|
|
Salut,
Am un script php si o baza de date sql (mai exact scriptul web pt mu online). Acest scrit php permite crearea de utilizatori pe un website (reseteaza caractere... etc). De cateva zile cand se incearca creare de utilizatori (care folosesc cractere !@$%^*()/* .. etc)primesc eroarea urmatoare:
SQL Injection Detected. Make sure to ONLY use letters (a-Z) and numbers (0-9)!
De asemenea cand cineva incearca sa isi acceseze contul primeste eroare:
SQL Injection Detected - Remember, only use numbers and letters!
e aceiasi chestie cu prima dar scrisa sub o alta forma...
cum as putea rezolva aceasta problema?
scuze daca nu am postat unde trebuie.
Multumesc anticipat! |
|
| Sus |
|
snowman
Data înscrierii: 02/Dec/2006
Mesaje: 362
Locație: Hunedoara
|
| Trimis: Joi Iun 07, 2007 7:50 am Titlul subiectului: |
|
|
pai nu ai voie sa folosesti !@$%^*()/* .. etc.SI SPATII! doar la e-mail merge cu @.incearca sa faci un cont fara acele caractere sa vezi daca merge.
Later. |
|
| Sus |
|
anakyn
Data înscrierii: 07/Iun/2007
Mesaje: 5
|
| Trimis: Joi Iun 07, 2007 8:02 am Titlul subiectului: |
|
|
pai da dar pana acum cateva zile a mers... si nu stiu din ce cauza si cum as putea rezolva problema
daca inverc fara aceste caractere merge. |
|
| Sus |
|
snowman
Data înscrierii: 02/Dec/2006
Mesaje: 362
Locație: Hunedoara
|
| Trimis: Joi Iun 07, 2007 8:12 am Titlul subiectului: |
|
|
ar fi o solutie sa stergi toate semnele alea ale utilizatorilor care le contin.da asa nu o sa mai stie nimeni username-ul.ar fi trebuit sa scrii sub username si parola ca nu sunt admise acele caractere.totusi ai putea sa le trimiti noul username fara caracterele alea pe mail-ul lor(daca il ai).
sau ai mai putea sa faci un script mic ce sa respinga utilizatorilor care intraduc la username acele caractere(sa-i dea un fel de eroare ca nu are voie sa introduca caracterele acelea).
Later. |
|
| Sus |
|
anakyn
Data înscrierii: 07/Iun/2007
Mesaje: 5
|
| Trimis: Joi Iun 07, 2007 8:23 am Titlul subiectului: |
|
|
eu as dori sa il fac sa functioneze (daca a mers trebuie sa existe o solutie), bine inteles cu ajutorul vostru.
Multumesc. |
|
| Sus |
|
mihaitha
Data înscrierii: 04/Mai/2007
Mesaje: 1395
Locație: Sibiu
|
| Trimis: Joi Iun 07, 2007 9:30 am Titlul subiectului: |
|
|
| Tu realizezi ca daca il faci sa functioneze si cu caracterele speciale faci scriptul vulnerabil la sql injection? |
|
| Sus |
|
beeuser
Data înscrierii: 20/Mai/2004
Mesaje: 383
|
| Trimis: Joi Iun 07, 2007 9:55 am Titlul subiectului: |
|
|
Validare.
Toate datele care-ti vin prin form, trebuie validate.
Adica daca te astepti la un email, tre sa verifici ca ce a introdus sa fie email.
Daca te astepti la numar, tre sa verifici sa fie numar.
Acuma la nume, nu cred ca are nimeni nume cu caractere speciale.
Oricum, cand introduci in baza de date sa faci escape la datele introduse.
vezi mysql_real_escape_string. |
|
| Sus |
|
anakyn
Data înscrierii: 07/Iun/2007
Mesaje: 5
|
| Trimis: Vin Iun 08, 2007 7:18 am Titlul subiectului: |
|
|
pana la urma cred ca o sa renunt la caracterele speciale... desi deja sun create mai multe conturi care contin aceste caractere.
Multumesc pt raspunsuri. |
|
| Sus |
|
PHPRomania Bot
Bot Member
Data înscrierii: 27/Dec/2007
Mesaje: 1
Locaţie: Server Google |
| Trimis: Mie Dec 26, 2007 7:01 pm Titlul subiectului: Ad |
|
|
|
|
|
| Sus |
|
| |
