Registrace nového uživatele
Návod
Kluby
Archív Lopuchu
Lopuch.cz
Modrá je dobrá
zelená je lepší
Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
Archiv klubu
Database (mysql,...)
[ŽP:
neomezená
] (kategorie
Programování
) moderuje
melkor_unlimited
.
Nastavení klubu
Nastavení práv
Homepage
Anketa
Přítomní
Oblíbené
Lopuch
Kategorie
autor:
text:
vyplnit a
Help
[ 414 ]
<Novější
<<<Nejnovější
Nejstarší>>>
Starší>
8.10.2004 11:42
74
Stejně tak je ovšem samozřejmost nemít hesla uživatelů v databázi jako prostý text.
tvx
Myslet si, že svět je JEN takový, jak -
ho v daný čas můžeme pochopit je hloupé.
8.10.2004 09:26
73
já taky předpokládám, že jenom pro jednoduchost to tu lidi nezatěžujou vysvětlováním, že tu proměnnou nejdříve zkontrolovali ale dělají to "v)
Ale kdo ví....
8.10.2004 02:27
72
straka: jestli promennou $rozdil generujes sciptem, tak v klidu. Ja (a Tessien asi taky) jsem mel dojem, ze je to promenna z nejakyho formulare..
8.10.2004 01:41
71
Tessien: V tom $rozdil budu mit jen to co budu chtit ja, nikdo tam nebude moct dat nic jinyho, protoze kdyz se nekdo pokusi tam neco dat, tak to tam bude do te doby, nez to neprepisu tim co chcu ja, pak az se to pripoji k samotnemu dotazu, nebo ne???
Tessien
Of course slavery is the worst thing -
that ever happened. But maybe...
7.10.2004 23:30
70
straka82: jasne ze muze.. Ten zakerznej retezec budes mit v tom $rozdil, kterej tam nakonec pripojis.
7.10.2004 23:25
69
ale
kdyz dam do te promene hned na zacatku skriptu treba prazdej retezec, tak se prece nemuze nic stat, ne?????
7.10.2004 22:42
68
pepak: To, ze si kontroluje vstupni promenne jsem povazoval za samozrejmost.
Tessien
Of course slavery is the worst thing -
that ever happened. But maybe...
7.10.2004 22:17
67
Presne jak pisou tvx a pepak :)
Skladani SQL retezcovejma operacema, do kterejch davas primo parametry requestu je bezp. dira jako krava..
A mimochodem velmi oblibena, fakt hodne stranek v PHP je na tohle nachylny. Pak uz jen staci nekde natrefit na dobrou chybovou hlasku, ve ktere je jmeno nejake dobre tabulky (typu users) a daj se delat veci..
pepak
-
Pepak.net
7.10.2004 21:08
66
Mach:
To je taky dobra sebevrazda: Co kdyz to zavolam pomoci stranka.php?rozdil=%20UNION%20SELECT%20*%20FROM%20USERS
tvx
Myslet si, že svět je JEN takový, jak -
ho v daný čas můžeme pochopit je hloupé.
7.10.2004 20:05
65
Straka
Předpokládám, že měl na mysli, že ti někdo podstrčí něco jinýho na vstup. Tudíž, že bys nic ze vstupu neměl před přezkoumáním co to je to vkládat přímo do sql.
7.10.2004 18:13
64
Straka82: Takhle se zbavis zbytecne pomocne promenne $where_konec:
$q = mysql_query(
'SELECT * FROM neco' . ($rozdil != 'vsechny' ? " where a - b = $rozdil" : "")
);
7.10.2004 17:56
63
myslim, ze ne
kdyz se treba pred to vse napise $where_konec=''; tak se snad nemuze nikdy nic stat ne? Teda aspon pokud si myslim spravne co znamena sql injection
Tessien
Of course slavery is the worst thing -
that ever happened. But maybe...
7.10.2004 15:34
62
No fuj, tohle musi byt nachylny na SQL injection jako svina, ne?
7.10.2004 15:27
61
:-)
Jo, tak nejak sem to udelal :))
7.10.2004 15:27
60
Uz nic
Tak ja uz to vyresil retezenim string promennych, tim jsem si vytvoril ten dotaz, co je zrovna potreba. Diky, ahoj, ale muzete tu este napsat, jestli to jde nejak jinak :-)
[ 414 ]
<Novější
<<<Nejnovější
Nejstarší>>>
Starší>
označené
neoznačené
rozsah
(c) 2001-2011 Lopuch.cz
Kontakt