Форум АНТИЧАТ - Помогите закрыть скуль

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)

- - Помогите закрыть скуль (https://forum.antichat.xyz/showthread.php?t=95767)

mff	10.12.2008 18:18

Помогите закрыть скуль

Вот такую дрянь прислали, что посоветуйте сделать, как закрыть?

Код:

http://www.site.ru/?go=katalog&catid=-5189+UNION+SELECT+1,2,3,concat_ws(0x3a,VERSION(),DATABASE(),USER()),5,6,7,8,9,10,11,12,13,14/*

:confused:

ViP-K1LLeR

10.12.2008 18:30

Чтобы исключить возможность SQL-inj делай фильтрацию входящих данных. Т.е примерно так:

Код:

<?php

$baddata = array("UNION",

                 "OUTFILE",

                 "FROM",

                 "SELECT",

                 "WHERE",

                 "SHUTDOWN",

                 "UPDATE",

                 "DELETE",

                 "CHANGE",

                 "MODIFY",

                 "RENAME",

                 "RELOAD",

                 "ALTER",

                 "GRANT",

                 "DROP",

                 "INSERT",

                 "CONCAT",

                 "cmd",

                 "exec",

                 "--",

                 // HTML LINE

                 "\([^>]*\"?[^)]*\)",

                 "<[^>]*body*\"?[^>]*>",

                 "<[^>]*script*\"?[^>]*>",

                 "<[^>]*object*\"?[^>]*>",

                 "<[^>]*iframe*\"?[^>]*>",

                 "<[^>]*img*\"?[^>]*>",

                 "<[^>]*frame*\"?[^>]*>",

                 "<[^>]*applet*\"?[^>]*>",

                 "<[^>]*meta*\"?[^>]*>",

                 "<[^>]*style*\"?[^>]*>",

                 "<[^>]*form*\"?[^>]*>",

                 "<[^>]*div*\"?[^>]*>");

foreach($baddata as $badkey => $badvalue){

if(is_string($inputdata) && eregi($badvalue,$inputdata)){ $badcount=1; }

}

/* ... */

if($badcount==1){

/* ... */

}

?>

GuD-ok

10.12.2008 18:33

Цитата:

Сообщение от ViP-K1LLeR

Чтобы исключить возможность SQL-inj делай фильтрацию входящих данных. Т.е примерно так:

А если криптованая?

Ponchik

10.12.2008 19:03

ОМГ

Qwazar

10.12.2008 19:16

Цитата:

Сообщение от ViP-K1LLeR

Чтобы исключить возможность SQL-inj делай фильтрацию входящих данных. Т.е примерно так:

Ппц чувак.. Жесть какая :)
Читай тут: https://forum.antichat.ru/thread30641.html

ViP-K1LLeR

10.12.2008 19:26

Цитата:

Сообщение от Qwazar

Ппц чувак.. Жесть какая :)
Читай тут: https://forum.antichat.ru/thread30641.html

Действительно всё намного легче :D Спасибо

life_is_shit

10.12.2008 19:52

Объявляю скуль торжественно закрытой. как те вариант?=)

mff	10.12.2008 20:24

Qwazar, спаибо!

Кстати, что с поиском? У кого нить работает? Или это только у меня?

Время: 11:33