Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
25.04.2009, 12:34
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
2 Byrger:
Это анриал, к сожалению, забудь
|
|
|
25.04.2009, 12:48
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Как выбрать из Базы,самое часто встречающееся та слово?
Тоесть,есть таблицо, stats, нужно выбрать 5 самых популярных запросов.
|
|
|
|
25.04.2009, 12:49
|
|
Постоянный
Регистрация: 06.02.2008
Сообщений: 494
Провел на форуме:
1754802
Репутация:
380
|
|
Сообщение от Byrger
Как проверить есть ли в строке какаето либо слово из массива вне зависимости от регистра букв
Тоесть надо сделать проверку на Селекты Юнионы и если есть то запустить их вырезание или замену+вызов функции err_log()
PHP код:
$array_search=array('union','select','group','order','limit');
$input="1+UnIoN+SeLeCt+1";
echo str_ireplace($array_search,'тра-та-та',$input,$count);
if($count>0) {
ну и здеся функция твоя err_log()
}
Последний раз редактировалось PaCo; 25.04.2009 в 13:11..
|
|
|
|
25.04.2009, 12:54
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Byrger, не слушай Pashkely.
PHP код:
<?
$array=array('union','select','and','or');
$string="http://site.ru/script.php?id=1+union+select+1";
foreach($array as $value)
$string=preg_replace("#".$value."#i","",$string);
echo $string;
?>
|
|
|
|
25.04.2009, 12:57
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Дебильные фильтры, всё обходится просто написа любую букву в union заглавной и т.д. (у mailbrush)
Последний раз редактировалось Pashkela; 25.04.2009 в 13:00..
|
|
|
|
25.04.2009, 13:03
|
|
Постоянный
Регистрация: 06.02.2008
Сообщений: 494
Провел на форуме:
1754802
Репутация:
380
|
|
Сообщение от Pashkela
Дебильные фильтры, всё обходится просто написа любую букву в union заглавной и т.д. (у mailbrush)
"#".$value."# i"
|
|
|
|
25.04.2009, 13:07
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Pashkela, если ты не в курсе, Символ "i" после закрывающего ограничителя шаблона означает регистронезависимый поиск.
Бургер, вот с функцией:
PHP код:
<?
$array=array('union','select','and','orx','\+');
$string="http://site.ru/script.php?id=1+union+select+1";
foreach($array as $value)
{
$pattern="#".$value."#i";
if(preg_match($pattern,$string))
{
$string=preg_replace($pattern,false,$string);
$function="echo '<h1>Попытка взлома!</h1>';"; //функкция
}
}
echo $string;
@eval($function);
?>
|
|
|
|
25.04.2009, 13:19
|
|
Постоянный
Регистрация: 06.02.2008
Сообщений: 494
Провел на форуме:
1754802
Репутация:
380
|
|
Сообщение от mailbrush
Pashkela, если ты не в курсе, Символ "i" после закрывающего ограничителя шаблона означает регистронезависимый поиск.
Бургер, вот с функцией:
PHP код:
<?
$array=array('union','select','and','orx','\+');
$string="http://site.ru/script.php?id=1+union+select+1";
foreach($array as $value)
{
$pattern="#".$value."#i";
if(preg_match($pattern,$string))
{
$string=preg_replace($pattern,false,$string);
$function="echo '<h1>Попытка взлома!</h1>';"; //функкция
}
}
echo $string;
@eval($function);
?>
Если не нужны сложные замены то предпочтительней использовать str_ireplace(str_replace в 4 ветки с извратом strtolower или strtoupper ), во вторых представь ситуацию preg_match($pattern,$string) вернет 0 замен и у нас будет возможность перезаписать $function (переменые переменых, Global Owerwrite и etc ) то мы получем шелл 
|
|
|
|
25.04.2009, 13:20
|
|
Голос разума
Регистрация: 27.09.2006
Сообщений: 529
Провел на форуме:
1607210
Репутация:
1617
|
|
Сообщение от mailbrush
Pashkela, если ты не в курсе, Символ "i" после закрывающего ограничителя шаблона означает регистронезависимый поиск.
Бургер, вот с функцией:
PHP код:
<?
$array=array('union','select','and','orx','\+');
$string="http://site.ru/script.php?id=1+union+select+1";
foreach($array as $value)
{
$pattern="#".$value."#i";
if(preg_match($pattern,$string))
{
$string=preg_replace($pattern,false,$string);
$function="echo '<h1>Попытка взлома!</h1>';"; //функкция
}
}
echo $string;
@eval($function);
?>
Вот вы балбесы))))))))))))) ухахахахахаха, вот такое представление о защите и делает возможным имение серверов с кучей сайтов.
Код HTML:
$string="http://site.ru/script.php?id=1/**/ununionion/**/seselectlect/**/1";
ЧТОБЫ ОТФИЛЬТРОВАТЬ ВСЕ - НУЖНО НАПИСАТЬ СУПЕРЗДОРОВЫЙ КЛАСС ДЛЯ ПАРСИНГА SQL ВЫРАЖЕНИЙ, ЧТО ПРОСТО БЕССМЫСЛЕННО!!!
__________________
Бойтесь своих желаний. Они могут исполниться....
...О-о-о-о, ушами не услышать, глазами не понять!
Последний раз редактировалось SQLHACK; 25.04.2009 в 13:23..
|
|
|
|
25.04.2009, 13:23
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Двум умникам выше (кроме SQLHACK есс-но) - если говорят дебильные фильтры, значит так оно и есть
PHP код:
<?php
$array=array('union','select','and','or');
$string="http://site.ru/script.php?id=1+uniunionon+seselectlect+1";
foreach($array as $value)
$string=preg_replace("#".$value."#i","",$string);
echo $string;
?>
ЧТОБЫ ОТФИЛЬТРОВАТЬ ВСЕ - НУЖНО НАПИСАТЬ СУПЕРЗДОРОВЫЙ КЛАСС ДЛЯ ПАРСИНГА SQL ВЫРАЖЕНИЙ, ЧТО ПРОСТО БЕССМЫСЛЕННО!!!
+, о чем я сразу и написал, не проще просто нормальный код писать и проверять и обрабатывать только переменные, а не " все возможные существующие варианты"
Последний раз редактировалось Pashkela; 25.04.2009 в 13:26..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
