Normalt mysql er på vej ud, du kan godt sikre dig mod det med
http://php.net[...]
Men det bedste er at begynde og bruge Mysqli eller PDO.
Hvor stor koder drejer det sig om? Kan godt lige skimme det igennem hvis det ikke er for meget.
--
#1 Kan ikke se nogen nævner at systemet er lavet i php?
Desuden kan det være omfattende at implementere helt nye databaser.
#0 Lidt mere informationer om dit system ville gøre det nemmere :)
--
#2 Nu det er primært php der domineret "sites" med Mysql.
--
#3 Stadig en forkert antagelse ;)
--
Undskyld jeg føler mig dum nu, det er php ja :D det er en okay sjat kode jeg spørger lige ad hvilken side det var man kunne komme igennem så det lettere, jeg smider en mail til dig eller ligger det op på pastebin så alle kan komme med input når jeg kommer på :)
--
#0 Hvis du ikke er vulnerable til sqli er du jo bare vulnerable til alle de andre metoder man kan anvende?
--
Mine apps på AppStore: http://itunes.apple.com[...]
i5 2500k @ 4.5 GHz | P8Z68-V PRO | HD6870 CF Kan godt hjælpe med at sikre dig mod SQLi :-)
Har du Skype?
--
Arbejder på en tegneserie!
#9 Hver lidt mere flabet :) :) :) :)
Hvilket website scripting sprog, mener du så bruger mysql i højere grad end php?
--
#11 Det mener jeg ikke. Men siger bare det er forkert at antage det er php når det ligeså godt kunne være hvad som helst andet :) Det er lidt ligesom at sige nogen har pisset på sædet i min bil, hvordan løser jeg det? Det en AUDI så skal du bare .... dårligt eksempel, but you get the point ;)
--
Nu er jeg ikke fransk mester i hverken php eller mysql, men der findes typisk to måder at fikse det på.
Enten brug parameter til input for sql istedet for at bygge det op af strenge etc.
Er dette ikke en mulighed, kan man beslutte at særlige tegn eller værdier skal sorteres fra.
På mssql er det især. '. Exec ; declare
Som er bandiitterne. Jeg har set nogle meget kreative hvor payload overføres som binære data og konvereres til streng i sden omkring liggende sql.
Hvilke værdier det er på mysql må du ud og grave i.
Held og lykke
--
Ja jeg har skype mit brugernavn er paziiek, send mig gerne en venne anmodning hvis du kan hjAElpe, jeg fik lige hevet en gammel private message frem med en der sagde han kunne komme igennem med dette -- minhjemmeside.dk/index.php?action=registerSELECT fieldlist
FROM table
WHERE field = '$EMAIL';register;tablelocated'register-
-
' '$sendemail' 'pullsendemail'
Change $email to your email or FTP server
place it in notepad Compile it .nl and run it via linux server and you will be able to pull everything password emails usernames every table that you wish to i tried it working good but I wont exploit it that why I choose to report.
Virker det som noget der passer eller fyrer han pis af? Har ikke selv en linux server sä jeg kunne ikke teste, jeg har ikke filerne liggende lige pt pä min tyske laptop men min ven skulle gerne logge pä inden for en time og give mig access til serveren igen. Jeg takker og jeg smider en pastebin op senere med register delen og de andre huller jeg finder frem til när jeg har modtaget filerne.
MANGE TAK! :)
- edit: fixet link sä det ikke blät
--
Hej,
Lige den er meget nem at undgå i din index.php
Du læser nok din action direkte ind i koden, det er farligt, prøv noget i den her stil:
------
$action = null;
if ($GET['action'] == 'register') $action = 'register';
--------
På den måde kan din action variable aldrig indeholde skadelig sql.
Gentag med alle de actions du har brug for.
Du mailer mig bare med spørgsmål på
[email protected]
--