bLessFLA

Members

View Profile See their activity

Posts
10
Joined
April 30, 2015
Last visited
May 4, 2022

Content Type

All Activity

Profiles

Forums

Topics
Posts

Everything posted by bLessFLA

Mai sunt pensionari pe aici ?

bLessFLA replied to temp's topic in Off-topic

Mi-e rusine sa citesc ce intrebam la vremea aia pe aici :)))
- October 4, 2021
- 56 replies
Cum ma protejez de atacuri SQL Injection

bLessFLA posted a topic in Tutoriale in romana

1. Cum sa evitam SQL Injection (SQLi) De obicei acesta este folosit in linkuri de genul: site.tld/script.php?id=1 , adaugand dupa 1 o continuare a comanezii SQL. De exemplu: Code: (Select All) site.com/script.php?id=1 Acesta in cod arata cam asa: Code: (Select All) SELECT camp1,camp2 FROM tabel WHERE id=’1? Insa, putem adauga ceva acelui id, ceea ce va continua comanda noastra SQL: Code: (Select All) site.com/script.php?id=1’OR+id%3D’3? Asta, in codul SQL va arata asa: Code: (Select All) SELECT camp1,camp2 FROM tabel WHERE id=’1? OR id=’3? Bineinteles, acest exemplu nu este daunator, dar daca “hackerul” foloseste DROP sau DELETE, poate iesi urat. Cum se pot securiza acestea ? Simplu ! Aplicam stringului pe care il introducem in baza de date o functie, mysql_real_escape_string(), care inlocuieste toate caracterele care ar putea avea vreun efect asupra comenzii SQL. De exemplu: script.php Code: (Select All) $id = $_GET[‘id’]; $id = mysql_real_escape_string($id); $query = “SELECT camp1,camp2 FROM tabel WHERE id='”. $id .”‘”; Cel mai bine e sa luam toate datele in functie de ID (adica sa nu avem urluri gen useri.php?user=bogdan, ci useri.php?iduser=1) deoarece ID-uri, trebuie sa fie numere, lucru care se poate verifica foarte usor. Deci, datele le vom selecta dupa un anumit ID, care o sa fie numeric. Astfel, scriptul devine simplu: Code: $id = $_GET[‘id’]; if(!is_numeric($id)){ echo ‘ID-ul nu est numeric. Incercare de hacking ?? Politia a fost anuntata'; }else{ //este indicat sa verificati intai daca acel ID se afla in baza de date. folositi mysql_num_rows, iar daca rezultatul este 0, id-ul nu exista in baza de date //ceva de genul: $query = mysql_query(“SELECT camp1,camp2 FROM tabel WHERE id='”. $id .”‘”); if(mysql_num_rows($query)==0) { echo ‘ID-ul nu exista in baza de date. Anunt avocatul'; }else{ //totul e OK, id-ul e validat si exista in BD } } In principiu, pentru a valida un GET folositi urmatoarele 3 functii, in functie de caz: mysql_real_escape_string() – sau alternativa: addslashes() is_numeric() mysql_num_rows()
- May 29, 2015
- 3 replies
- - $id
  - care
  - (and 3 more)
    Tagged with:
    
    $id
    
    care
    
    code
    
    select
    
    sql
Cerere - Program Flood & "Instructiuni"

bLessFLA posted a topic in Cosul de gunoi

Hei cine ma poate ajuta si pe mine cu un program flood si niste "Instructiuni" Multumesc anticipat
- May 7, 2015
- 1 reply
- - flood
  - instructiuni
  - (and 3 more)
    Tagged with:
    
    flood
    
    instructiuni
    
    mine
    
    multumesc
    
    program
Acces la camere de filmat

bLessFLA replied to shadowSQLi's topic in Tutoriale in romana

O intrebare cum ai cautat pentru semafoare?
- April 30, 2015
- 22 replies
- - ===================
  - citytimisoara
  - (and 3 more)
    Tagged with:
    
    ===================
    
    citytimisoara
    
    passwordd
    
    [+]no
    
    [+]username

Sign In

bLessFLA

Posts

Joined

Last visited

Content Type

Profiles

Forums

Everything posted by bLessFLA

Mai sunt pensionari pe aici ?

Cum ma protejez de atacuri SQL Injection

Cerere - Program Flood & "Instructiuni"

Acces la camere de filmat

Browse

Activity

Pages