Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Modrá je dobrá
zelená je lepší

Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
 
Archiv klubu Database (mysql,...) [ŽP: neomezená] (kategorie Programování) moderuje melkor_unlimited.
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
   
[ 414 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
eso 8.10.2004 10:42  74
Stejně tak je ovšem samozřejmost nemít hesla uživatelů v databázi jako prostý text.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 8.10.2004 08:26  73
já taky předpokládám, že jenom pro jednoduchost to tu lidi nezatěžujou vysvětlováním, že tu proměnnou nejdříve zkontrolovali ale dělají to "v)
Ale kdo ví....
al3x 8.10.2004 01:27  72
straka: jestli promennou $rozdil generujes sciptem, tak v klidu. Ja (a Tessien asi taky) jsem mel dojem, ze je to promenna z nejakyho formulare..
straka82 8.10.2004 00:41  71
Tessien: V tom $rozdil budu mit jen to co budu chtit ja, nikdo tam nebude moct dat nic jinyho, protoze kdyz se nekdo pokusi tam neco dat, tak to tam bude do te doby, nez to neprepisu tim co chcu ja, pak az se to pripoji k samotnemu dotazu, nebo ne???
tessien Tessien Of course slavery is the worst thing - that ever happened. But maybe... 7.10.2004 22:30  70
straka82: jasne ze muze.. Ten zakerznej retezec budes mit v tom $rozdil, kterej tam nakonec pripojis.
straka82 7.10.2004 22:25  69
alekdyz dam do te promene hned na zacatku skriptu treba prazdej retezec, tak se prece nemuze nic stat, ne?????
mach 7.10.2004 21:42  68
pepak: To, ze si kontroluje vstupni promenne jsem povazoval za samozrejmost.
tessien Tessien Of course slavery is the worst thing - that ever happened. But maybe... 7.10.2004 21:17  67
Presne jak pisou tvx a pepak :)

Skladani SQL retezcovejma operacema, do kterejch davas primo parametry requestu je bezp. dira jako krava..
A mimochodem velmi oblibena, fakt hodne stranek v PHP je na tohle nachylny. Pak uz jen staci nekde natrefit na dobrou chybovou hlasku, ve ktere je jmeno nejake dobre tabulky (typu users) a daj se delat veci..
pepak pepak - Pepak.net 7.10.2004 20:08  66
Mach: To je taky dobra sebevrazda: Co kdyz to zavolam pomoci stranka.php?rozdil=%20UNION%20SELECT%20*%20FROM%20USERS
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 7.10.2004 19:05  65
StrakaPředpokládám, že měl na mysli, že ti někdo podstrčí něco jinýho na vstup. Tudíž, že bys nic ze vstupu neměl před přezkoumáním co to je to vkládat přímo do sql.
mach 7.10.2004 17:13  64
Straka82: Takhle se zbavis zbytecne pomocne promenne $where_konec:

$q = mysql_query(
    'SELECT * FROM neco' . ($rozdil != 'vsechny' ? " where a - b = $rozdil" : "")
);
straka82 7.10.2004 16:56  63
myslim, ze nekdyz se treba pred to vse napise $where_konec=''; tak se snad nemuze nikdy nic stat ne? Teda aspon pokud si myslim spravne co znamena sql injection
tessien Tessien Of course slavery is the worst thing - that ever happened. But maybe... 7.10.2004 14:34  62
No fuj, tohle musi byt nachylny na SQL injection jako svina, ne?
straka82 7.10.2004 14:27  61
:-)Jo, tak nejak sem to udelal :))
straka82 7.10.2004 14:27  60
Uz nicTak ja uz to vyresil retezenim string promennych, tim jsem si vytvoril ten dotaz, co je zrovna potreba. Diky, ahoj, ale muzete tu este napsat, jestli to jde nejak jinak :-)
[ 414 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt