Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP. Практика создания Web-сайтов (второе издание). Авторы: Кузнецов М.В., Симдянов И.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5. На примерах. Авторы: Кузнецов М.В., Симдянов И.В., Голышев С.В. MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум MySQL

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум (новые сообщения вниз) Структурный форум

тема: Пытались взломать

Сообщения:  [1-9] 

 
 автор: neokortex   (11.12.2009 в 00:25)   письмо автору
 
   для: ДобрыйУхх   (11.12.2009 в 00:17)
 

скрипт сохраняет в базу запрос, чтобы админ потом мог посмотреть что ищут пользователи.
А сейчас похоже придется сохранять еще и ip с точным временем запроса и датой.

  Ответить  
 
 автор: ДобрыйУхх   (11.12.2009 в 00:17)   письмо автору
 
   для: neokortex   (08.12.2009 в 21:54)
 

а как это Вы интересно узнали что пытались взломать? Я еще не разу не сталкивался с этим, хотя много где использую формы), тфу тфу тфу через левое плече

  Ответить  
 
 автор: Fractured#   (10.12.2009 в 23:11)   письмо автору
 
   для: PhMaster   (10.12.2009 в 07:47)
 

Пользователь отправляет текст «I'll fuck u», в переменной $text оказывается же «I\'ll fuck u».

Спрашивается. Является ли «I\'ll fuck u» первоначальным текстом или это что-то другое?

  Ответить  
 
 автор: PhMaster   (10.12.2009 в 07:47)   письмо автору
 
   для: Fractured#   (09.12.2009 в 23:59)
 

А на мой взгляд вот так:

if (get_magic_quotes_gpc()){
$text = stripslashes($_POST['text']);
}

$text = mysql_escape_string($_POST['text']);

  Ответить  
 
 автор: Fractured#   (09.12.2009 в 23:59)   письмо автору
 
   для: neadekvat   (09.12.2009 в 22:49)
 

На самом деле так:
<?php 
$_POST
['text'] = isset($_POST['text']) ? (string) $_POST['text'] : NULL;
if (!
get_magic_quotes_gpc()){ 
    
$esc_text mysql_escape_string($_POST['text']); 
} else {
    
$esc_text $_POST['text']; 
}
?> 


P.S. А в случае с LIKE ещё и это:
<?php

function like_esc($s)
{
    return 
addCslashes($s'\\%_');
}

?>

  Ответить  
 
 автор: neadekvat   (09.12.2009 в 22:49)   письмо автору
 
   для: Commander   (09.12.2009 в 22:33)
 

А еще правильнее так:
<?php 
if (!get_magic_quotes_gpc()){ 
    
$text mysql_escape_string($_POST['text']); 
} else {
    
$text $_POST['text']; 
}
?>

  Ответить  
 
 автор: Commander   (09.12.2009 в 22:33)   письмо автору
 
   для: DEM   (08.12.2009 в 22:24)
 

Правильнее так:

<?php
if (!get_magic_quotes_gpc()){
    
$text mysql_escape_string($_POST['text']);
}
?>

  Ответить  
 
 автор: DEM   (08.12.2009 в 22:24)   письмо автору
 
   для: neokortex   (08.12.2009 в 21:54)
 

$text = mysql_escape_string($_POST['text']);

  Ответить  
 
 автор: neokortex   (08.12.2009 в 21:54)   письмо автору
 
 

Пытались сайт взломать через строку поиска.
Как можно защититься?
На сайте производится запрос вида

$text=$_POST['text'];
$query=mysql_query("SELECT * FROM `table` WHERE `content_page` LIKE '%".$terxt."%'");

  Ответить  

Сообщения:  [1-9] 

Форум разработан IT-студией SoftTime
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования