Sleduj návody s komentářem. Upload obrázků Upload souborů War3Zone.eu Webmail Podpoř náš web a vyber si výhodu



Spatne ID plochy.Spatne ID plochy.
Sponzor VPS:






      

Serialbook - upozornění na nové epizody oblíbených seriálů

Tvorba webu Potřebuji poradit s ...

Moderátor: Web poradce

Mysql injekce

PříspěvekodFarmousek » sob 12. dub 2014 8:42:43

čaute prosím vás když nepoužívám GET ale POST lze napadnout také pomocí injekce DB ??

Farmousek
Kamarád
Kamarád
Uživatelský avatar

 
Příspěvky: 111
Registrován: stř 17. říj 2012 9:34:25
Podpora: Tento uživatel zatím nepodpořil naše fórum.

Re: Mysql injekce

PříspěvekodRisc » ned 13. dub 2014 20:01:29

Ahoj.
Pokud se v POST předává nějaký uživatelův vstup, pak samozřejmě ano. Proti injekci se však dá bránit naprosto jednoduše. Danou proměnnou prostě obalíš funkcí mysql_real_escape_string() nebo používej pro práci s MySQL objektový ovladač PDO, který je proti injekci cháněn už v základu.Nebudu se o něm rozepisovat, bylo by to na dlouho. Pokud ho chceš používat, přečti si k němu dokumentaci. :-)

Příklad funkce mysql_real_escape_string() pro proměnnou "jmeno":
Kód: Vybrat vše
Pokud chceš vidět odkazy, tak se přihlaš (popř. zaregistruj)!


Toto všechno samozřejmě funguje pouze v jazyce PHP. Předpokládám však, že jej používáš.

Obrázek
Risc
Fanatik
Fanatik
Uživatelský avatar

 
Příspěvky: 35
Registrován: pon 29. črc 2013 14:26:26
Podpora: Tento uživatel zatím nepodpořil naše fórum.

Re: Mysql injekce

PříspěvekodFarmousek » pát 18. dub 2014 17:17:31

Takže tohle zabrání proti injekci jo ??

Příklad funkce mysql_real_escape_string() pro proměnnou "jmeno":
Kód: Vybrat vše
Pokud chceš vidět odkazy, tak se přihlaš (popř. zaregistruj)!


Farmousek
Kamarád
Kamarád
Uživatelský avatar

 
Příspěvky: 111
Registrován: stř 17. říj 2012 9:34:25
Podpora: Tento uživatel zatím nepodpořil naše fórum.

Re: Mysql injekce

PříspěvekodRisc » ned 20. dub 2014 21:37:22

Ano, toto zabrání MySQL injekci. Funkce vlastně vykonává naprosto jednoduchou věc.
Veškeré uvozovky, pomlčky apod. převádí na naprosto neškodné entity, které budou do databáze zapsány skutečně jako uvozovky, pomlčky apod. Tím pádem nebude proměnná nijak ovlivňovat databázový příkaz.

Obrázek
Risc
Fanatik
Fanatik
Uživatelský avatar

 
Příspěvky: 35
Registrován: pon 29. črc 2013 14:26:26
Podpora: Tento uživatel zatím nepodpořil naše fórum.

Re: Mysql injekce

PříspěvekodFarmousek » čtv 24. dub 2014 20:49:13

ok vyskouším dík

Farmousek
Kamarád
Kamarád
Uživatelský avatar

 
Příspěvky: 111
Registrován: stř 17. říj 2012 9:34:25
Podpora: Tento uživatel zatím nepodpořil naše fórum.

Re: Mysql injekce

PříspěvekodRisc » ned 18. kvě 2014 21:15:38

Musím dodat (i když se zpozděním, za což se omlouvám)...
Funkce mysql_real_escape_string() se dá obejít, nejčastěji u proměnných typu GET. Dávej si pozor, kde ji používáš. Nebudu sem psát, jak se dá obejít, abych tady neradil potencionálním útočníkům. Mohu ti maximálně doporučit zaučení s ovladačem PDO, který řeší obranu proti injekci napřímým dosazováním proměnných do MySQL dotazu (o tom se dočteš, když si ho prostuduješ). :-)

Obrázek
Risc
Fanatik
Fanatik
Uživatelský avatar

 
Příspěvky: 35
Registrován: pon 29. črc 2013 14:26:26
Podpora: Tento uživatel zatím nepodpořil naše fórum.

Re: Mysql injekce

Příspěvekod  Nitram » sob 28. čer 2014 17:14:21

Jen dodám asi budu vypadat jako ři**pi** ale je to SQL INJECTION a funkce real_escape_string() není až tak vhodná nejlepším způsobem je používat PDO + šifrování. Nejlepším způsobem jak zabezpečit webovou aplikaci je veškeré předávání dat šifrovat. Pak je vhodné používat i SSL protokol.

Skype: nitram09
Pracuji jako vývojář v oblasti tvorba webu a mobilních aplikací. Rád vám poradím, ale zadarmo netvořím.
  Nitram
Podpora
Podpora
 
Příspěvky: 352
Registrován: pon 15. úno 2010 14:58:26
Bydliště: Kousek od Znojma
Podpora: 109 Kč

Re: Mysql injekce

PříspěvekodRisc » pát 04. črc 2014 17:48:28

Šifrování dat je obrana proti MySQL Injekci? O tom jsem ještě neslyšel...Jak to funguje? :D

Obrázek
Risc
Fanatik
Fanatik
Uživatelský avatar

 
Příspěvky: 35
Registrován: pon 29. črc 2013 14:26:26
Podpora: Tento uživatel zatím nepodpořil naše fórum.

Re: Mysql injekce

PříspěvekodExter_GSPortal » čtv 23. říj 2014 19:57:00

Risc píše:Šifrování dat je obrana proti MySQL Injekci? O tom jsem ještě neslyšel...Jak to funguje? :D

to asi nikto okrem neho :D

Exter_GSPortal
Začátečník
Začátečník
Uživatelský avatar

 
Příspěvky: 2
Registrován: čtv 21. srp 2014 10:16:57
Podpora: Tento uživatel zatím nepodpořil naše fórum.


Zpět na Potřebuji poradit s ...

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník


Tento web používá k poskytování služeb a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace