HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > PHP
Перезагрузить страницу Простите за нубский вопрос про рег.выражения
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

Простите за нубский вопрос про
  #1  
Старый 02.11.2006, 13:19
EST a1ien
Участник форума
Регистрация: 02.04.2006
Сообщений: 273
С нами: 10582516

Репутация: 114
По умолчанию Простите за нубский вопрос про
Ещё раз прошу прощения за тупой вопрос, но незнаю как реализовать.

Нужно проверять введенные данные пользователя чтобы защетится от SQL-inj
Говорю сразу addslashes не предлогать.
Так-как по непняной пречине на MSSQL работает очень криво.

Подскажите способ как защетится но при учете того что пользователь должен использовать спец символы.


==================
Вобщнм принемаю любые варианты решения

PS: Язык php.

Ладно тогда предложите хороший метод защиты от SQL-inj
𝕏 Twitter Reddit Telegram Копировать ссылку
Последний раз редактировалось EST a1ien; 02.11.2006 в 17:45..
 
Ответить с цитированием

  #2  
Старый 02.11.2006, 18:58
hidden
Постоянный
Регистрация: 23.04.2006
Сообщений: 622
С нами: 10552646

Репутация: 1292


По умолчанию
Код:
$txt="Текст Текст Text Text";
$txt=str_replace(array('%','+'),array('\\x',' '),urlencode($txt));
echo $txt;
 
Ответить с цитированием

  #3  
Старый 02.11.2006, 19:58
EST a1ien
Участник форума
Регистрация: 02.04.2006
Сообщений: 273
С нами: 10582516

Репутация: 114
По умолчанию
Не к сожалению не катит так-как к примеру есть пользователь >l<izn-
Он захочет посмотреть инфу о себе введет свой логин он обработается и вот что получится
Цитата:
select * from memb WHERE Name='\x3El\x3Cizn-';
И такой запрос вернёт не точто надо.

Но всёравно спс. за идею у кого ещё есть какиенибудь идеи
Последний раз редактировалось EST a1ien; 02.11.2006 в 20:00..
 
Ответить с цитированием

  #4  
Старый 02.11.2006, 20:12
hidden
Постоянный
Регистрация: 23.04.2006
Сообщений: 622
С нами: 10552646

Репутация: 1292


По умолчанию
Ну тогда кодируй всё в base64_encode
 
Ответить с цитированием

  #5  
Старый 02.11.2006, 20:32
EST a1ien
Участник форума
Регистрация: 02.04.2006
Сообщений: 273
С нами: 10582516

Репутация: 114
По умолчанию
Ну закодирую и что дальше делать с закодированой строкой?
Последний раз редактировалось EST a1ien; 02.11.2006 в 20:34..
 
Ответить с цитированием

  #6  
Старый 02.11.2006, 21:08
hidden
Постоянный
Регистрация: 23.04.2006
Сообщений: 622
С нами: 10552646

Репутация: 1292


По умолчанию
Цитата:
Сообщение от EST a1ien  
Ну закодирую и что дальше делать с закодированой строкой?
Ну а потом раскодируешь.

А ещё строки в SQL можно в HEX кодировать, тапа того
Код:
 select * from memb WHERE Name=0x3E6C3C697A6E2D;
Код:
$txt=">l<izn-";

$ret='0x';
$hex='0123456789ABCDEF';
for($x=0;$x<strlen($txt);$x++){
  $ret.=$hex{ord($txt{$x})>>4}.$hex{ord($txt{$x})&15};
}

echo $ret;
 
Ответить с цитированием

  #7  
Старый 02.11.2006, 22:28
ShAnKaR
Постоянный
Регистрация: 14.07.2005
Сообщений: 964
С нами: 10960226

Репутация: 1424


По умолчанию
я не понял - экранировать спецсимволы нельзя? или именно addslashes нельзя?
 
Ответить с цитированием

  #8  
Старый 02.11.2006, 23:21
nc.STRIEM
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
С нами: 10578566

Репутация: 1228


По умолчанию
Перед сохранением данных в базе кодируй их например при помощи urlencode() ! тоесть пользователя >l<izn- сохраняй в базе как %3El%3Cizn- ивсе!!!
а при выводе данных обратно раскодируй их! надеюсь понял идею...
 
Ответить с цитированием

  #9  
Старый 02.11.2006, 23:53
nerezus
Флудер
Регистрация: 12.08.2004
Сообщений: 3,791
С нами: 11444066

Репутация: 2290


По умолчанию
Определить спецсимволы и заэкранировать слешами.
 
Ответить с цитированием

  #10  
Старый 03.11.2006, 21:48
EST a1ien
Участник форума
Регистрация: 02.04.2006
Сообщений: 273
С нами: 10582516

Репутация: 114
Question
Цитата:
я не понял - экранировать спецсимволы нельзя? или именно addslashes нельзя?
Нет просто MSSQL както криво работает спри этом тоесть вот такой запрос вызывает ошибку в MSSQL

select * from memb WHERE Name='test\'';

Цитата:
Server: Msg 105, Level 15, State 1, Line 1
Unclosed quotation mark before the character string 'test\';
'.
Server: Msg 170, Level 15, State 1, Line 1
Line 1: Incorrect syntax near 'test\';
'.

Цитата:
Перед сохранением данных в базе кодируй их например при помощи urlencode() ! тоесть пользователя >l<izn- сохраняй в базе как %3El%3Cizn- ивсе!!!
а при выводе данных обратно раскодируй их! надеюсь понял идею...
Понял но некатит так-как это база одной онлайн игры и я немогу редактировать то как данные хранятся в базе потомучто допустим пользователь зарегался с ником >l<izn- в базе он сохранился как %3El%3Cizn- и поэтому пользователю предётся вводить %3El%3Cizn- чтобы войти в игру.

Ладно тогда так каие символы надо фильтровать для защиты понятно что " ' + какие ещё?
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вопрос про шелл KaMiKadZe Уязвимости 8 16.05.2006 11:19
Вопрос про заливку шелла в Xoops & phpBB Stanx Уязвимости CMS / форумов 3 30.01.2005 13:39
Вопрос про Powered by phpBB 2.0.6 Lancelot Уязвимости CMS / форумов 14 14.01.2005 03:39



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.