Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 5 su 5
  1. 27-01-2007, 18:59 #1
    Sbarboff2005
    Sbarboff2005 non è in linea
    Utente di HTML.it L'avatar di Sbarboff2005
    Registrato dal
    Jan 2006
    Messaggi
    586
    Invia un messaggio tramite AIM a Sbarboff2005 Invia un messaggio tramite Yahoo a Sbarboff2005

    [PHP & MySQL] Sql Injection

    Come posso evitare che mi accada questo nel guestbook.

    eventualmente se volete vedere di cosa si tratta andate qui

    Codice:
    Codice PHP:
    $currentDate date("d.m.Y - H:i:s");
    $ip $_SERVER['REMOTE_ADDR'];

    if (isset(    $_POST['Submit']) && $_GET['action'] = "insert") {
    mysql_select_db($database_name$conn) or die (mysql_error());
    $query "INSERT INTO tb_guesbook (gb_callsign, gb_name, gb_linkName, gb_linkUrl, gb_dateTime, gb_object, gb_text, gb_email, gb_ip) VALUES (
                                                                                                    '"    .$_POST['callsign']."',
                                                                                                    '"    .$_POST['name']."',
                                                                                                    '"    .$_POST['linkname']."',
                                                                                                    '"    .$_POST['linkurl']."',
                                                                                                    '"    .$_POST['dateTime']."',
                                                                                                    '"    .$_POST['object']."',
                                                                                                    '"    .$_POST['text']."',
                                                                                                    '"    .$_POST['email']."',
                                                                                                    '"    .$_POST['ip']."'
                                                                                                    )"    ;
    mysql_query($query) or die (mysql_error());
    $msg "Messaggio inserito con successo!
    Message insert successfully!"    ;
    }
                                                                                                    

    ?> 
    PHP THE BEST
    Rispondi quotando Rispondi quotando
  2. 27-01-2007, 19:50 #2
    StefanoV
    StefanoV non è in linea
    Utente di HTML.it L'avatar di StefanoV
    Registrato dal
    Jan 2007
    Messaggi
    532
    metti add_slashes alla query.....

    cmq riguarda il form di login...anke lui è vulnerabile all'SQL Injection!
    S.V. Softwares - S.V. Photography - S.V. Design Blog
    Rispondi quotando Rispondi quotando
  3. 27-01-2007, 19:52 #3
    andbin
    andbin non è in linea
    Utente di HTML.it L'avatar di andbin
    Registrato dal
    Jan 2006
    residenza
    Italy
    Messaggi
    18,284

    Re: [PHP & MySQL] Sql Injection

    Originariamente inviato da Sbarboff2005
    Come posso evitare che mi accada questo nel guestbook.
    ....... '" . mysql_real_escape_string ($_POST['callsign'], $conn) . "', .......
    Andrea, andbin.devSenior Java developerSCJP 5 (91%) • SCWCD 5 (94%)
    java.util.function Interfaces Cheat SheetJava Versions Cheat Sheet
    Rispondi quotando Rispondi quotando
  4. 27-01-2007, 23:20 #4
    Sbarboff2005
    Sbarboff2005 non è in linea
    Utente di HTML.it L'avatar di Sbarboff2005
    Registrato dal
    Jan 2006
    Messaggi
    586
    Invia un messaggio tramite AIM a Sbarboff2005 Invia un messaggio tramite Yahoo a Sbarboff2005
    k grazie dei consigli domani provo a rimediare al mio misero script guestbook!!!
    PHP THE BEST
    Rispondi quotando Rispondi quotando
  5. 28-01-2007, 16:10 #5
    Sbarboff2005
    Sbarboff2005 non è in linea
    Utente di HTML.it L'avatar di Sbarboff2005
    Registrato dal
    Jan 2006
    Messaggi
    586
    Invia un messaggio tramite AIM a Sbarboff2005 Invia un messaggio tramite Yahoo a Sbarboff2005
    Ecco ho provato a fare cosi e funziona

    Codice PHP:
    <?php 
    $currentDate     date("d.m.Y - H:i:s");
    $ip $_SERVER['REMOTE_ADDR'];

    if (isset(    $_POST['Submit']) && $_GET['action'] = "insert") {
    mysql_select_db($database_name$conn) or die (mysql_error());
    $query "INSERT INTO tb_guesbook (gb_callsign, gb_name, gb_linkName, gb_linkUrl, gb_dateTime, gb_object, gb_text, gb_email, gb_ip) VALUES (
                                                                                    '"    .mysql_real_escape_string ($_POST['callsign'],$conn)."',
                                                                                    '"    .mysql_real_escape_string ($_POST['name'],$conn)."',
                                                                                    '"    .mysql_real_escape_string ($_POST['linkname'],$conn)."',
                                                                                    '"    .mysql_real_escape_string ($_POST['linkurl'],$conn)."',
                                                                                    '"    .mysql_real_escape_string ($_POST['dateTime'],$conn)."',
                                                                                    '"    .mysql_real_escape_string ($_POST['object'],$conn)."',
                                                                                    '"    .mysql_real_escape_string ($_POST['text'],$conn)."',
                                                                                    '"    .mysql_real_escape_string ($_POST['email'],$conn)."',
                                                                                    '"    .mysql_real_escape_string ($_POST['ip'],$conn)."'
                                                                                                    )"    ;
    mysql_query($query) or die (mysql_error());
    $msg "Messaggio inserito con successo!
    Message insert successfully!"    ;
    }
                                                                                                    

    ?>

    Pero quel malefico di un utente riesce ancora mettere messaggi alla cazzo ;
    Altri consigli per evitare il tutto??

    Date un'occhiata qui
    PHP THE BEST
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.