Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Modrá je dobrá
zelená je lepší

Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
 
Archiv klubu Database (mysql,...) [ŽP: neomezená] (kategorie Programování) moderuje melkor_unlimited.
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
   
[ 414 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
eso 8.10.2004 11:42  74
Stejně tak je ovšem samozřejmost nemít hesla uživatelů v databázi jako prostý text.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 8.10.2004 09:26  73
já taky předpokládám, že jenom pro jednoduchost to tu lidi nezatěžujou vysvětlováním, že tu proměnnou nejdříve zkontrolovali ale dělají to "v)
Ale kdo ví....
al3x 8.10.2004 02:27  72
straka: jestli promennou $rozdil generujes sciptem, tak v klidu. Ja (a Tessien asi taky) jsem mel dojem, ze je to promenna z nejakyho formulare..
straka82 8.10.2004 01:41  71
Tessien: V tom $rozdil budu mit jen to co budu chtit ja, nikdo tam nebude moct dat nic jinyho, protoze kdyz se nekdo pokusi tam neco dat, tak to tam bude do te doby, nez to neprepisu tim co chcu ja, pak az se to pripoji k samotnemu dotazu, nebo ne???
tessien Tessien Of course slavery is the worst thing - that ever happened. But maybe... 7.10.2004 23:30  70
straka82: jasne ze muze.. Ten zakerznej retezec budes mit v tom $rozdil, kterej tam nakonec pripojis.
straka82 7.10.2004 23:25  69
alekdyz dam do te promene hned na zacatku skriptu treba prazdej retezec, tak se prece nemuze nic stat, ne?????
mach 7.10.2004 22:42  68
pepak: To, ze si kontroluje vstupni promenne jsem povazoval za samozrejmost.
tessien Tessien Of course slavery is the worst thing - that ever happened. But maybe... 7.10.2004 22:17  67
Presne jak pisou tvx a pepak :)

Skladani SQL retezcovejma operacema, do kterejch davas primo parametry requestu je bezp. dira jako krava..
A mimochodem velmi oblibena, fakt hodne stranek v PHP je na tohle nachylny. Pak uz jen staci nekde natrefit na dobrou chybovou hlasku, ve ktere je jmeno nejake dobre tabulky (typu users) a daj se delat veci..
pepak pepak - Pepak.net 7.10.2004 21:08  66
Mach: To je taky dobra sebevrazda: Co kdyz to zavolam pomoci stranka.php?rozdil=%20UNION%20SELECT%20*%20FROM%20USERS
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 7.10.2004 20:05  65
StrakaPředpokládám, že měl na mysli, že ti někdo podstrčí něco jinýho na vstup. Tudíž, že bys nic ze vstupu neměl před přezkoumáním co to je to vkládat přímo do sql.
mach 7.10.2004 18:13  64
Straka82: Takhle se zbavis zbytecne pomocne promenne $where_konec:

$q = mysql_query(
    'SELECT * FROM neco' . ($rozdil != 'vsechny' ? " where a - b = $rozdil" : "")
);
straka82 7.10.2004 17:56  63
myslim, ze nekdyz se treba pred to vse napise $where_konec=''; tak se snad nemuze nikdy nic stat ne? Teda aspon pokud si myslim spravne co znamena sql injection
tessien Tessien Of course slavery is the worst thing - that ever happened. But maybe... 7.10.2004 15:34  62
No fuj, tohle musi byt nachylny na SQL injection jako svina, ne?
straka82 7.10.2004 15:27  61
:-)Jo, tak nejak sem to udelal :))
straka82 7.10.2004 15:27  60
Uz nicTak ja uz to vyresil retezenim string promennych, tim jsem si vytvoril ten dotaz, co je zrovna potreba. Diky, ahoj, ale muzete tu este napsat, jestli to jde nejak jinak :-)
[ 414 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt