достаю вот таким запросом только имя
$id = stripslashes($_GET['id']);
$result = mysql_query("SELECT name FROM users WHERE id='$id'");
echo $id;
$mysql = mysql_fetch_assoc($result);
echo "<br>".$mysql['name'];
Тут же и вывожу данные, делаю такой запрос
index.php?id=1' union select password as name from users where id='1
И все равно выдает имя. Почему?
Спустя 1 минута, 57 секунд (16.01.2011 - 19:27) Dron19 написал(а):
magic_qoutes_gpc отключены.
Сразу говорю, защиты никакой не ставил, сделал так, что бы специально взломать
Сразу говорю, защиты никакой не ставил, сделал так, что бы специально взломать
Спустя 11 минут, 5 секунд (16.01.2011 - 19:38) twin написал(а):
Это сюда вопрос.
Спустя 20 минут, 3 секунды (16.01.2011 - 19:58) linker написал(а):
index.php?id=1' and '1'<>'1' union select password as name from users where id='1Вот так должно сработать Спустя 37 минут, 55 секунд (16.01.2011 - 20:36) DedMorozzz написал(а):
twin, ты не прав. Что бы уметь защищаться необходимо знать как взламывают и понимать механизмы
Спустя 7 минут, 25 секунд (16.01.2011 - 20:43) Dron19 написал(а):
| Цитата (linker @ 16.01.2011 - 16:58) |
index.php?id=1' and '1'<>'1' union select password as name from users where id='1Вот так должно сработать |
вот так сработало, а зачем ты добавил 1 не равно 1? Что это дает, что-то уловить не могу
Спустя 3 минуты, 37 секунд (16.01.2011 - 20:47) Dron19 написал(а):
получается первое условие не срабатывает, но зачем?
Спустя 2 минуты, 40 секунд (16.01.2011 - 20:49) twin написал(а):
DedMorozzz
| Цитата |
| twin, ты не прав. Что бы уметь защищаться необходимо знать как взламывают и понимать механизмы |
А я и не против. Только два момента.
1. Там лучше научат
2. Тут увидит кто то, воспользуется, потом скажет, что мы научили. Надо нам такая рипутация?
1. Там лучше научат
2. Тут увидит кто то, воспользуется, потом скажет, что мы научили. Надо нам такая рипутация?
Спустя 1 минута, 49 секунд (16.01.2011 - 20:51) Dron19 написал(а):
все я понял, что бы сработало второе условие, нужно что бы не сработало первое, посколько в бд у меня только один пользователь, сработает и такой запрос
Сейчас надо проверить эту строку
index.php?id=2' union select password as name from users where id='1
Сейчас надо проверить эту строку
Спустя 34 секунды (16.01.2011 - 20:52) Dron19 написал(а):
Во точно, мой вариант сработал! =))) Я вывел пароль пользователя =)))
Спустя 1 минута, 10 секунд (16.01.2011 - 20:53) Dron19 написал(а):
но как поступать если мой гет запрос обрабатывается mysql_real_escape_string? Должны же быть выходы
Спустя 33 секунды (16.01.2011 - 20:54) Dron19 написал(а):
надо мне ломануть сайт Попова =)))
Спустя 3 часа, 57 минут, 3 секунды (17.01.2011 - 00:51) inpost написал(а):
Dron19
Он на вордпрессе =) И его уже ломали и пытались сломать, врядли получится.
Он на вордпрессе =) И его уже ломали и пытались сломать, врядли получится.
Спустя 9 часов, 34 минуты, 49 секунд (17.01.2011 - 10:25) linker написал(а):
Защитит тебя банальный
$id = isset($_GET['id']) ? (integer)$_GET['id'] : 0;
Спустя 5 минут, 20 секунд (17.01.2011 - 10:31) Basili4 написал(а):
twin
зря туда послал.....
еще скажут что тебе эта хак зона пруф.
глянб чего пишут то http://www.hackzona.ru/hz.php?name=News&fi...rticle&sid=9520
зря туда послал.....
еще скажут что тебе эта хак зона пруф.
глянб чего пишут то http://www.hackzona.ru/hz.php?name=News&fi...rticle&sid=9520
Спустя 4 минуты, 40 секунд (17.01.2011 - 10:35) Basili4 написал(а):
вот еще "крутая" статья по подбору пароля устанут жеж так подбирать
http://www.hackzona.ru/hz.php?name=News&fi...rticle&sid=9486 мда......
http://www.hackzona.ru/hz.php?name=News&fi...rticle&sid=9486 мда......
Спустя 7 минут, 27 секунд (17.01.2011 - 10:43) twin написал(а):
К вам уже едут. 
Спустя 3 часа, 42 минуты, 8 секунд (17.01.2011 - 14:25) Gradus написал(а):
| Цитата |
| К вам уже едут. |
мда... почему жизнь таких "реальных пацанов" не учит ?
как можно с таким сознанием не получить по башке ? у меня есть только одно предположение, видимо окружающие такие же.Безмозглым репером или нарко-фотографом ныне быть модно 
Спустя 2 часа, 48 минут, 49 секунд (17.01.2011 - 17:14) Dron19 написал(а):
| Цитата (Gradus @ 17.01.2011 - 11:25) | ||
мда... почему жизнь таких "реальных пацанов" не учит ? как можно с таким сознанием не получить по башке ? у меня есть только одно предположение, видимо окружающие такие же.Безмозглым репером или нарко-фотографом ныне быть модно |
И не говори
Спустя 31 минута, 23 секунды (17.01.2011 - 17:45) inpost написал(а):
hackzona у вас открывается? У меня - нет =(
Спустя 2 минуты, 26 секунд (17.01.2011 - 17:48) sergeiss написал(а):
| Цитата (twin @ 16.01.2011 - 21:49) |
| Тут увидит кто то, воспользуется, потом скажет, что мы научили. Надо нам такая репутация? |
Не согласен, что надо этого бояться на нашем форуме
Потому что подобная тема аналогична отработке удар-защита в мордобойствах. Чтобы научиться защищаться, надо, чтобы было более-менее реальное нападение. Иначе - бесполезно.И тут то же самое. Так что такие темы надо только приветствовать! Потому что в сети и так можно найти много инфы о взломах сайтов. А тут человек учится, как защищаться от нападения. То есть основное - это обучение защите.
Спустя 4 минуты, 40 секунд (17.01.2011 - 17:52) twin написал(а):
Да беда в том, что мало кто учится защищаться, как я погляжу. А вот поломать - всем интересно.
Да я не настаиваю, как хотите. Я в этом участия принимать не буду. Хватит того, что на моём сайте висит инструкция, как поповские сайты ломать))
Да я не настаиваю, как хотите. Я в этом участия принимать не буду. Хватит того, что на моём сайте висит инструкция, как поповские сайты ломать))
Спустя 55 минут, 40 секунд (17.01.2011 - 18:48) inpost написал(а):
twin
Я не могу защищаться от того, что я не знаю, как атакует враг! Именно поэтому на войне важны шпионы, которые сообщают о возможных вариантах атак, и это необходимо знать прежде, чем защищаться.
Я не могу защищаться от того, что я не знаю, как атакует враг! Именно поэтому на войне важны шпионы, которые сообщают о возможных вариантах атак, и это необходимо знать прежде, чем защищаться.
Спустя 6 минут, 16 секунд (17.01.2011 - 18:54) Dron19 написал(а):
я хочу вообще взломом сайтов заняться профессионально(то есть знать очень много нюансов), что бы потом была хорошая возможность защититься от этого. Вообще программирование на php, javascript, C++ - это мое!!! Не представляю уже даже как без этого прожить
Не представляю уже даже как без этого прожить Спустя 1 час, 43 минуты, 56 секунд (17.01.2011 - 20:38) glock18 написал(а):
Ну, Dron'а уже вот-вот заберут 
Спустя 27 минут, 11 секунд (17.01.2011 - 21:05) Dron19 написал(а):
| Цитата (inpost @ 17.01.2011 - 14:45) |
| hackzona у вас открывается? У меня - нет =( |
у меня да
Спустя 40 секунд (17.01.2011 - 21:06) Dron19 написал(а):
| Цитата (glock18 @ 17.01.2011 - 17:38) |
| Ну, Dron'а уже вот-вот заберут |
Спустя 1 час, 41 минута, 57 секунд (17.01.2011 - 22:48) linker написал(а):
| Цитата (Dron19 @ 17.01.2011 - 18:54) |
| я хочу вообще взломом сайтов заняться профессионально, что бы потом была хорошая возможность защититься от этого. Вообще программирование на php, javascript, C++ - это мое!!! Не представляю уже даже как без этого прожить |
Поверь мне, хотя... кому как, после неоднократного общения с ФСБ теряешь интерес к сему занятию, появляются мозги, начинаешь понимать что в жизни есть что-то более важно, чем жизнь за решеткой или в бегах.
Спустя 17 часов, 19 минут, 42 секунды (18.01.2011 - 16:08) Dron19 написал(а):
хотя были такие случаи, когда таких хакеров сами ФСБшники и брали к себе на работу на время срока за решеткой
Спустя 54 минуты, 30 секунд (18.01.2011 - 17:02) linker написал(а):
Dron19
А оно тебе надо за бюджетную зарплату в 3-5 тысяч горбатиться?
А оно тебе надо за бюджетную зарплату в 3-5 тысяч горбатиться?
Спустя 41 минута, 1 секунда (18.01.2011 - 17:43) Dron19 написал(а):
на ФСБ же должно быть вроде больше намного! Ну все равно, писать программы, то есть заниматься любимым делом лучше чем сидеть 
_____________
PHP+MySQL - уже изучил, осталось всего лишь это:
C,C++,C#,JavaScript,Python,Ruby,Perl,OpenGl,DirectX,ASP.NET - Намерен учить все