Szerző Téma: SQL érték megváltoztatása  (Megtekintve 3365 alkalommal)

SQL érték megváltoztatása
« Válasz #15 Dátum: 2017. július 24. - 10:46:36 »
0 Show voters
Idézetet írta: Somax02 date=1500875331


   
      Ez akkor sem biztonságos, hogyha amikor bejelentkezik a jelszót kódolja md5, sha256 stb - be?
   


Hogyha a jelszó kódolva van.. akkor igen, mert ugye az 1\' OR \'1\' = \'1 be lesz kódolva egy MD5-kódba.. De loginon kívül is, ha tudod, kerüld el ezeket! 

SQL érték megváltoztatása
« Válasz #16 Dátum: 2017. július 24. - 10:48:45 »
0 Show voters
Idézetet írta: Somax02 date=1500880359


   
      https://wiki.multitheftauto.com/wiki/ExecuteSQLQuery
   
   
      ExecuteSQLQuery nincsen injection. Mysql_query - nél van injection, én is kipróbáltam valóban működik. Viszont azt nem tudom, hogy hogyan tudnám elkerülni.
   


Nem tudom, hogy ott hogyan van.. de ajánlom a dbQuery-t, ott ha utólag adod meg a paramétereket (pl. name = ?\', name), akkor nem injektálható, én ezt használom. (https://wiki.mtasa.com/dbQuery)
 
Ha ez a mysql_query-t PHP-ban szeretnéd használni, akkor nincs ötletem. 
« Utoljára szerkesztve: 2017. július 24. - 10:50:36 írta MakroBox »

SQL érték megváltoztatása
« Válasz #17 Dátum: 2017. július 24. - 10:51:12 »
0 Show voters
Köszönöm a segítséget! Viszont szerintem az is megoldás, ha ezt használom. 



   
      if (string.find(Username, \";\", 0)) or (string.find(Username, \"\'\", 0)) or (string.find(Username, \"@\", 0)) or (string.find(Username, \",\", 0)) or (string.find(Username, \'\"\', 0)) or (string.find(Username, \"=\", 0)) then
   

[/quote]
 
 

SQL érték megváltoztatása
« Válasz #18 Dátum: 2017. július 24. - 10:56:42 »
0 Show voters
 
 
Idézetet írta: Somax02 date=1500886272


   
      Köszönöm a segítséget! Viszont szerintem az is megoldás, ha ezt használom. 
   
       
   


Nem rossz, anno PHP-ban ezt használtam JavaScript kivédésére.. Egyszer egy (szerencsére) etikus hacker ilyen névvel regisztrált be: <script>alert(\'Biztonsági hiba.\');</alert> ha jól emlékszem. Mivel az SQL átfutott az összes felhasználón belépéskor, ez a kód lefutott, így minden belépő látta, hogy biztonsági hiba.. 
 
Utána a Te megoldásoddal kivédtem, de nem a legjobb az a sok if, terheli a szervert is, minden belépéskor. Meg mivel az SQL-ből kérsz le, ne felejtsd el megcsinálni, hogy 5 másodpercenként lehessen belépni, mert különben floodolja az SQL-t, oszt easy DoS (xD) VAGY mikor elindul a szeró, lemented, hogy mi van SQL-ben, majd regnél hozzáadod a betegisztrált embert.. egy SQL-lekérés, egy INSERT INTO. 
 
 

Nem elérhető id100

  • 903
    • Profil megtekintése
SQL érték megváltoztatása
« Válasz #19 Dátum: 2017. július 24. - 11:43:19 »
+3 Show voters
PHP-ba PDO inkább mint mysqli :)

SQL érték megváltoztatása
« Válasz #20 Dátum: 2017. július 24. - 11:45:16 »
0 Show voters
Idézetet írta: id100 date=1500889399


   
      PHP-ba PDO inkább mint mysqli :)
   


Van benne valami. 
 
(Az anno 4 éve volt.. :p)

SQL érték megváltoztatása
« Válasz #21 Dátum: 2017. július 24. - 16:27:47 »
0 Show voters
Idézetet írta: id100 date=1500851940


   
      Pedig ugyanezt próbáltuk amit leírt ide az előbb hogy ilyet ne :)
   


Jó közben olvastam, hogy erre értetted. Az elvileg nem megy, úgy tudom, de más inject ellenben igen (én meg másra értettem a mondandóm). 

 

SimplePortal 2.3.7 © 2008-2024, SimplePortal