Jump to content

Нужна ваша помощь.


vvsh
 Share

Recommended Posts

Доброе время суток.

Нужна ваша помощь, очень надо поискать дыры в моем блоге, если вы бесплатно не хотите этого делать, я заплачу, http://vvsh.ru/

Жду вашей помощи.

1716475139d6.jpg

Пишет, то что помечено красным, хотя по тому, что выделенно зеленым, так писать не должно ^_^:P

Мда :P

http://vvsh.ru/category/blog/ - все норм;

http://vvsh.ru/category/blo'g/ - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'g/','05.01.2009, 7:28:33','79.140.20.238')' at line 1

Link to comment
Share on other sites

http://vvsh.ru/category/blo'g/ - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'g/','05.01.2009, 7:28:33','79.140.20.238')' at line 1

Это исправил.

Пишет, то что помечено красным, хотя по тому, что выделенно зеленым, так писать не должно smile.gif smile.gif

Там была куча ошибок, а хостинг их не показывает.

Я все исправил.

Edited by vvsh
Link to comment
Share on other sites

Цитата

Это исправил.

Не исправил, все так-же. Спецсимволы SQL экранируй.

http://ru2.php.net/manual/ru/function.mysq...cape-string.php

Там стоит строгая проверка preg_match()

Спец-символы теперь тоже экранируются.

Vialls, может мне дать пример sql иньекции, пожалуйста.

Link to comment
Share on other sites

Не, все не буду, мне надоело. Я вот тут копал:

http://vvsh.ru/tags/spam' --'/

Вполне возможно, что нить сотворить, тем более запрос известен, он лежит в форуме PHP, в теме про теги ^_^

Edited by Vialls
Link to comment
Share on other sites

Я тебя разочарую, там теперь другой скрипт ^_^, то решение оказалось неправильным, я его переписал :P

Да это не важно :P после "--" все комментируется. А перед этим можно просто написать нужный SQL запрос, разделив их ";"

Ты давай, быстрее все параметры из "вне" экранируй :( А то хакеры какие нить тему спалят, и жопа блогу :P

Link to comment
Share on other sites

А больше ничего не нарыл?

Нет, да я особо и не смотрел, так в нескольких местах попробывал параметры подкорректить... Хотя еще что-то видел, уже забыл Позже еще посмотрю.

Link to comment
Share on other sites

Там стоит очень силная проверка, допускает тока [a-b0-9-A-B_-]

Но почему-то, когда я кавычку кидаю, она попадает в SQL запрос ^_^ Наверное неправильно ты записал регулярку...

http://vvsh.ru/tags/spam/ Тут нет вроде...

Link to comment
Share on other sites

Мое мнение:

Такого рода проверки не эффективно проводить с помошью слепого тыка. Нужно иметь код и по коду смотреть слабые места. Может быть, например, у тебя переменная не обнулена при использовании, найти её без исходников — один шанс на тысячу и не факт что в результате тчательной проверки её удастся обнаружить, а в результате случайного тыка другим человеком нет.

Так что лучше бы ты отдал граматному человеку исходники на аудит. Только пойми меня правильно — под грамотным человеком я имею ввиду не себя.

Edited by Виртуал
Link to comment
Share on other sites

+1

А еще лучше, купить книжечку или поискать статьи в инетрнете (а их много, ОЧЕНЬ много) о безопасности PHP скриптов, и устранить все самому. А от того, что кто-то это сделает за тебя, у тебя "ума" не прибавиться и будешь продолжать писать скрипты с дырками ^_^

P.S.

На php.ru, помоему, есть неплохая статья о безопасности.

Edited by Vialls
Link to comment
Share on other sites

 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy