HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу обход фильтров
   
Ответ
Страница 2 из 2 < 1 2
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 26.01.2011, 19:52
~d0s~
Познающий
Регистрация: 17.04.2010
Сообщений: 75
Провел на форуме:
691279

Репутация: 55
По умолчанию
Цитата:
Сообщение от Seravin  
Seravin said:
эм... хотелось бы поинтересоваться почему недопустимо?
Думаю он имел ввиду,что если знаешь что должно быть число,то легче юзать преобразование типов: (int),intval,settype или например проверять is_numeric,etc...

qaz

Перечитай статью,ты ничего не понял.
 
Ответить с цитированием

  #12  
Старый 26.01.2011, 20:47
Seravin
Участник форума
Регистрация: 25.11.2009
Сообщений: 201
Провел на форуме:
866555

Репутация: 226
По умолчанию
ну я например делаю так

Код:
Code:
"SELECT * FROM table WHERE id = '".mysql_real_escape_string($_GET['id'])."' and name = '".mysql_real_escape_string($_GET['name'])."'";
id число

name строка
 
Ответить с цитированием

  #13  
Старый 26.01.2011, 23:59
qaz
Guest
Сообщений: n/a
Провел на форуме:
344922

Репутация: 75
По умолчанию
Цитата:
Сообщение от ~d0s~  
~d0s~ said:
Думаю он имел ввиду,что если знаешь что должно быть число,то легче юзать преобразование типов: (int),intval,settype или например проверять is_numeric,etc...
qaz
Перечитай статью,ты ничего не понял.
я уже раз 20 перечитал, серовно чёт не плучается, што я не понял?, хелп
 
Ответить с цитированием

  #14  
Старый 28.01.2011, 08:39
je0n
Постоянный
Регистрация: 14.05.2006
Сообщений: 334
Провел на форуме:
1543521

Репутация: 272
Отправить сообщение для je0n с помощью ICQ
По умолчанию
Цитата:
Сообщение от Seravin  
Seravin said:
ну я например делаю так
Код:
Code:
"SELECT * FROM table WHERE id = '".mysql_real_escape_string($_GET['id'])."' and name = '".mysql_real_escape_string($_GET['name'])."'";
id число
name строка
а кто-то делает так:

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#DD0000"]"select * from table where id="[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]mysql_escape_string[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'id'[/COLOR][COLOR="#007700"]]);

[/COLOR][/COLOR
qaz

походу БД должна быть в любой кодировке, совместимой с asci, а на сайте использоваться одна из перечисленных в статье.

Если я правильно все это понимаю, то в таком несоответствии возможна инъекция...
 
Ответить с цитированием
Ответ
Страница 2 из 2 < 1 2



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ