Вот к примеру есть такой маленький скриптик
$query = "SELECT ....";
mysql_query($query);
Если мы в строке браузера дописываем к примеру index.php?query = '; DELETE и т.д.'
То в $query записывается уже другой запрос и потому решается это unset($query) перед объявлением запроса. Так вот что за фитча, можно поподробней)
Спасибо
Спустя 3 минуты, 36 секунд (22.06.2010 - 11:29) DedMorozzz написал(а):
В приведённом примере инъекцию не сделать. Она возможна там, где поставляются данные введённые пользователем.
Т.е. если будет так:
Вот тут надо делать так :
Хотя желательно пропустить через ф-ю, которая убирает последствия "Магических кавычек"
Т.е. если будет так:
SELECT * FROM `table_name` WHERE `user_name`='".$user_name."'
Вот тут надо делать так :
...'".mysql_real_escape_string($user_name)."'
Хотя желательно пропустить через ф-ю, которая убирает последствия "Магических кавычек"
Спустя 3 минуты, 19 секунд (22.06.2010 - 11:32) tomash написал(а):
артем23
И лучше установить Register Globals = off
И лучше установить Register Globals = off
Спустя 6 минут, 18 секунд (22.06.2010 - 11:39) Kuzya написал(а):
Перезапись не осуществится. Такой фокус возможен только если GET-данные попадают в этот запрос напрямую. Или же если $query не объявлена ранее(есть шанс объявить её если register_globals = On)
Спустя 6 минут, 50 секунд (22.06.2010 - 11:46) артем23 написал(а):
Или же если $query не объявлена ранее(есть шанс объявить её если register_globals = On)
не очень понял)) то есть query объявили два раза ?
не очень понял)) то есть query объявили два раза ?
Спустя 12 минут, 33 секунды (22.06.2010 - 11:58) tomash написал(а):
Спустя 1 час, 23 минуты, 27 секунд (22.06.2010 - 13:22) артем23 написал(а):
Или же если $query не объявлена ранее(есть шанс объявить её если register_globals = On)
то есть, если переменная не объявлена и случайно используется, то ее можно определить из строки браузера?
то есть, если переменная не объявлена и случайно используется, то ее можно определить из строки браузера?
Спустя 21 час, 14 минут, 43 секунды (23.06.2010 - 10:36) Kuzya написал(а):
Да, но только если в php.ini включен параметр register_globals