vvsh Posted January 4, 2009 Report Share Posted January 4, 2009 Доброе время суток.Нужна ваша помощь, очень надо поискать дыры в моем блоге, если вы бесплатно не хотите этого делать, я заплачу, http://vvsh.ru/Жду вашей помощи. Link to comment Share on other sites More sharing options...
Vialls Posted January 5, 2009 Report Share Posted January 5, 2009 Доброе время суток.Нужна ваша помощь, очень надо поискать дыры в моем блоге, если вы бесплатно не хотите этого делать, я заплачу, http://vvsh.ru/Жду вашей помощи.Пишет, то что помечено красным, хотя по тому, что выделенно зеленым, так писать не должно Мда http://vvsh.ru/category/blog/ - все норм;http://vvsh.ru/category/blo'g/ - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'g/','05.01.2009, 7:28:33','79.140.20.238')' at line 1 Link to comment Share on other sites More sharing options...
Виртуал Posted January 5, 2009 Report Share Posted January 5, 2009 Вот моя помошь… Link to comment Share on other sites More sharing options...
vvsh Posted January 5, 2009 Author Report Share Posted January 5, 2009 (edited) http://vvsh.ru/category/blo'g/ - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'g/','05.01.2009, 7:28:33','79.140.20.238')' at line 1Это исправил.Пишет, то что помечено красным, хотя по тому, что выделенно зеленым, так писать не должно smile.gif smile.gifТам была куча ошибок, а хостинг их не показывает.Я все исправил. Edited January 5, 2009 by vvsh Link to comment Share on other sites More sharing options...
vvsh Posted January 5, 2009 Author Report Share Posted January 5, 2009 Извините за название темы, вчера спать хотелось, написал как написал. Link to comment Share on other sites More sharing options...
Vialls Posted January 5, 2009 Report Share Posted January 5, 2009 Это исправил.Не исправил, все так-же. Спецсимволы SQL экранируй.http://ru2.php.net/manual/ru/function.mysq...cape-string.php Link to comment Share on other sites More sharing options...
vvsh Posted January 5, 2009 Author Report Share Posted January 5, 2009 ЦитатаЭто исправил.Не исправил, все так-же. Спецсимволы SQL экранируй.http://ru2.php.net/manual/ru/function.mysq...cape-string.phpТам стоит строгая проверка preg_match()Спец-символы теперь тоже экранируются.Vialls, может мне дать пример sql иньекции, пожалуйста. Link to comment Share on other sites More sharing options...
Vialls Posted January 5, 2009 Report Share Posted January 5, 2009 Vialls, может мне дать пример sql иньекции, пожалуйста.Уже 15 минут этим занимаюсь, пытаюсь базу тебе почистить Если получится, дам Link to comment Share on other sites More sharing options...
vvsh Posted January 5, 2009 Author Report Share Posted January 5, 2009 (edited) На всякий случай сдлал бэкап. Ищи, ищи. Edited January 5, 2009 by vvsh Link to comment Share on other sites More sharing options...
Vialls Posted January 5, 2009 Report Share Posted January 5, 2009 (edited) Не, все не буду, мне надоело. Я вот тут копал:http://vvsh.ru/tags/spam' --'/Вполне возможно, что нить сотворить, тем более запрос известен, он лежит в форуме PHP, в теме про теги Edited January 5, 2009 by Vialls Link to comment Share on other sites More sharing options...
vvsh Posted January 5, 2009 Author Report Share Posted January 5, 2009 Я тебя разочарую, там теперь другой скрипт , то решение оказалось неправильным, я его переписал А больше ничего не нарыл? Link to comment Share on other sites More sharing options...
Vialls Posted January 5, 2009 Report Share Posted January 5, 2009 Я тебя разочарую, там теперь другой скрипт , то решение оказалось неправильным, я его переписал Да это не важно после "--" все комментируется. А перед этим можно просто написать нужный SQL запрос, разделив их ";"Ты давай, быстрее все параметры из "вне" экранируй А то хакеры какие нить тему спалят, и жопа блогу Link to comment Share on other sites More sharing options...
vvsh Posted January 5, 2009 Author Report Share Posted January 5, 2009 Там стоит очень силная проверка, допускает тока [a-b0-9-A-B_-] Link to comment Share on other sites More sharing options...
Vialls Posted January 5, 2009 Report Share Posted January 5, 2009 А больше ничего не нарыл?Нет, да я особо и не смотрел, так в нескольких местах попробывал параметры подкорректить... Хотя еще что-то видел, уже забыл Позже еще посмотрю. Link to comment Share on other sites More sharing options...
vvsh Posted January 5, 2009 Author Report Share Posted January 5, 2009 Там экранируются все параметры. Link to comment Share on other sites More sharing options...
Vialls Posted January 5, 2009 Report Share Posted January 5, 2009 Там стоит очень силная проверка, допускает тока [a-b0-9-A-B_-]Но почему-то, когда я кавычку кидаю, она попадает в SQL запрос Наверное неправильно ты записал регулярку...http://vvsh.ru/tags/spam/ Тут нет вроде... Link to comment Share on other sites More sharing options...
vvsh Posted January 5, 2009 Author Report Share Posted January 5, 2009 А на какой странице именно выдает? Link to comment Share on other sites More sharing options...
Vialls Posted January 5, 2009 Report Share Posted January 5, 2009 http://vvsh.ru/tags/sp'am/ тут напримерУже нет. Link to comment Share on other sites More sharing options...
Виртуал Posted January 5, 2009 Report Share Posted January 5, 2009 (edited) Мое мнение:Такого рода проверки не эффективно проводить с помошью слепого тыка. Нужно иметь код и по коду смотреть слабые места. Может быть, например, у тебя переменная не обнулена при использовании, найти её без исходников — один шанс на тысячу и не факт что в результате тчательной проверки её удастся обнаружить, а в результате случайного тыка другим человеком нет.Так что лучше бы ты отдал граматному человеку исходники на аудит. Только пойми меня правильно — под грамотным человеком я имею ввиду не себя. Edited January 5, 2009 by Виртуал Link to comment Share on other sites More sharing options...
Vialls Posted January 5, 2009 Report Share Posted January 5, 2009 (edited) +1А еще лучше, купить книжечку или поискать статьи в инетрнете (а их много, ОЧЕНЬ много) о безопасности PHP скриптов, и устранить все самому. А от того, что кто-то это сделает за тебя, у тебя "ума" не прибавиться и будешь продолжать писать скрипты с дырками P.S.На php.ru, помоему, есть неплохая статья о безопасности. Edited January 7, 2009 by Vialls Link to comment Share on other sites More sharing options...
vvsh Posted January 5, 2009 Author Report Share Posted January 5, 2009 кто там мой сайт xspider тестирует? Link to comment Share on other sites More sharing options...
AMD Posted January 5, 2009 Report Share Posted January 5, 2009 хз в иньякциях не силен.http://vvsh.ru/category/new-year%20union%2...20`AMD`пустая страница Link to comment Share on other sites More sharing options...
vvsh Posted January 6, 2009 Author Report Share Posted January 6, 2009 (edited) — Edited January 6, 2009 by vvsh Link to comment Share on other sites More sharing options...
haZe Posted January 7, 2009 Report Share Posted January 7, 2009 2 vvsh, ну после такого теста, можете смело создавать у себя в блоге раздел "безопасность" с рецептами как защитить сайт) Link to comment Share on other sites More sharing options...
Vlad Posted January 7, 2009 Report Share Posted January 7, 2009 Страницу сделай с 404 ошибкой, а то при наборе неправильного адреса открывается полупустая страница и что произошло непонятно. Link to comment Share on other sites More sharing options...
Recommended Posts