защита MySQL

[Stanislav]

Я как бы мимо хотел пройти, но что то в ах..!""@@#@$#

Цитата:

прошу помочь разобраться

Stilet спешит на помощь, потому как другие положили, ибо этой инфы куча в инете и обсуждалось не раз, ошибся оператором а вы что?

Цитата:

ничего он тут не получит, т.к. плохой взломщик :B

А вы хороший?

Ах ну да тут вы показали свою значимость

Цитата:

если бы он тут or вместо and, тогда другое дело

Но вам мало, надо еще самоутвердится

Цитата:

какой смысл в примере который не показывает ничего?
ваш запрос вернет не более 1 записи, так и без добавки он так работает, вот уж взломали так взломали

[lomastr_]

что это было?

с кодерами вы у себя в песочнице можете попредставлять

[Stanislav]

Цитата:

Сообщение от lomastr_

что это было?

это было недовольство, по части перепутал тебя с другим, но в целом ты мог просто написать что он ошибся оператором

Цитата:

с кодерами вы у себя в песочнице можете попредставлять

еще раз пишу, перепутал тебя с топик - стартером, но в целом мог бы помягче.

По поводу песочницы я смысл что то не улавливаю, оператор or в песочнице что ли отрабатывался у Вас?

[Stilet]

Фух, народ прекращайте. Я с некоторого времени ниразу не добрый - продолжите перепалку, разбираться не буду - обоим по выговору.

[Sciv]

lomastr_, вот не поверишь - без твоего комментария все понятно было Однако приведи свой пример.

[s88s]

Цитата:

Сообщение от Stilet

Подробнее? Ну это тебе нужно почитать про SQL иньекции.
Как недопустить дописывания к параметрам шеллкода.
Ну например, у тебя есть запрос

Код:

"select * from Юзерс where user="+GET["username"];

Ну и предположим что в портале есть некое текстовое поле username, в котором ты вводишь логин, что потом подставляется в запрос
В результате я могу в поле написать строку следующего содержимого:
'mylogin' and 1=1
Поскольку запрос не экранирован он будет выполнен в таком виде:

Код:

select * from Юзерс where user='mylogin' and 1=1

Т.е. взломщик получит тупо всю таблицу со всеми данными, а не только данными по одному пользователю.
Поэтому параметры, подставляемые в запросы рекомендуется экранировать, параметризировать, а не составлять запрос в виде строк конкатенацией с приходящими данными, и проверять регулярными выражениями что именно приходит для подстановки в запрос.
Это на пальцах так сразу не объяснишь, тут целая наука.
Почитай для начала про параметризацию запроса, это уже будет неплохая защита.

Спасибо большое за пример более менее понятно стало ... до sql добрался только из за не хватки времени пришлось притормозить изучение =(

Цитата:

Сообщение от lomastr_

ничего он тут не получит, т.к. плохой взломщик :B
если бы он тут or вместо and, тогда другое дело
какой смысл в примере который не показывает ничего?
ваш запрос вернет не более 1 записи, так и без добавки он так работает, вот уж взломали так взломали

Уважаемый lomastr_, Вы бы могли просто привести свой какой нить простой пример или просто исправить ошибки в примере Stilet и написать что вот так будет правильней и просто объяснить почему ... Каждый может ошибаться ... просто из Ваших сообщений я не понял если честно не чего причем тут плохой взломщик почему надо писать or а не and ... пример который был написан к нему в самом низу было сказано

Цитата:

Сообщение от Stilet

Это на пальцах так сразу не объяснишь, тут целая наука.

так что я рад даже такому примеру для понимания хватает ... как говорится надо хоть с чего то начинать =)

Спасибо ВСЕМ за помощь =) будем продолжать свое обучение

[Stilet]

Цитата:

Уважаемый lomastr_

Этот "уважаемый" крендель уже далеко, и слава Ктулху. Пусть не возвращается.