• Naslovna
• FAQ
• Pravilnik
• O ES-u
• Tim
• Korisnici
• Statistike

 

• elitesecurity ::
• elitemadzone ::
• EMAIL ::
• RSS ::
• ES Mobile

  Niste ulogovani?  Username :   Password:   

• Registracija
• Zaboravili ste password?
• Flashback ▲▼
• Login problem?

 

Pretraga:

 

Srodne teme 14.04.2024. Re: Gde je Kejt? (samo pogrešni odgovori) 19.11.2003. MS SQL 12.02.2004. SQl upit i dbchart(neaktivan!) 07.04.2004. "Injection" ili SQL injection – šta .. 07.02.2005. SQL i Access - mala pomoc 22.03.2006. Sta je to Session Hijacking? 10.05.2006. c# i sql; nekoliko pocetnickih pitanja koja me mu.. 26.07.2006. JDBC sql injection problem 05.10.2006. Kompajliranje formi sa 10g R2 (9.0.4.0.1) na 10g .. 30.03.2007. Zašto je VBSokoban pravljenje igre premešten u .. Navigacija Brisanje liste Aktuelne teme u ovom forumu: Kako kompajlirati i napraviti executab.. U čemu pišete PHP skripte Provera da li postoji vrednost u tabeli Prenošenje variabli u php Da li moze pomoc, gde gresim u kodu pretraga podataka iz tabele u MySQL bazi Nakon F5 refresh-a, funkcija se ponov.. CRUD - zastita podataka CITANJE Word fajla u mysq bazu podataka PHP + MySQL -> Automatsko prebaciva.. funkcija sa pozivom na bazu, u sledeci.. upload slike u uppercase formatu JPG PHP-MySQL sabiranje po distinct rezult.. Vrednost iz polja u formu, iz forme u .. php provera punoletstva konstuktor kla.. Izaberite forum: Linux Linux aplikacije Linux desktop okruženja Linux hardware Windows desktop Windows aplikacije Zaštita Office Windows drajveri Office :: Word Office :: Excel Macintosh Mac hardware Mac software Iphone Enterprise Networking SOHO Networking Wireless Windows mreže Linux mreže Wireless :: WiMax Wireless :: Mikrotik Wireless :: Wireless oprema Linux/UNIX serveri i servisi Unix BSD Skript jezici Security Virtualizacija Cloud Computing Services Security :: Kriptografija i enkripcija .NET 3D programiranje Art of Programming Asembler C/C++ programiranje Kernel i OS programiranje Pascal / Delphi / Kylix Java Embedded sistemi Perl PHP Python Visual Basic 6 Veštačka inteligencija Security Coding XML GameDev - Razvoj Igara Ostali programski jezici PHP :: PHP za početnike PHP :: Smarty template engine .NET :: .NET Desktop razvoj .NET :: ASP.NET .NET :: WPF Programiranje C/C++ programiranje :: C/C++ za početnike Baze podataka MySQL Oracle Access MS SQL Firebird/Interbase PostgreSQL Fiksna telefonija VoIP Udruženje korisnika teleko.. GSM - telefoni GSM - upotreba GSM - servisiranje Mreže i novosti Smartphone Mreže i novosti :: Mobilni internet Mreže i novosti :: Telenor - korisnički servis Mreže i novosti :: VIP - korisnički servis Mreže i novosti :: MTS - korisnički servis Smartphone :: Symbian OS Smartphone :: Windows Mobile Smartphone :: Android GSM - telefoni :: Nokia PDA Uređaji GPS Portable Players Anonimnost i privatnost ISP Browseri E-mail Instant Messaging FTP Google Hosting ISP :: Wireless mreže i ISP ISP :: ADSL E-mail :: Anti-spam Instant Messaging :: IRC Hosting :: Domeni Google :: Gmail E-Marketing Web aplikacije Web dizajn i CSS Web dizajn softver Web razvoj Pretraživači i SEO Flash Javascript i AJAX Web dizajn i CSS :: Kritike Grafički dizajn Izdavaštvo 3D modelovanje Rasterska grafika Vektorska grafika 3D modelovanje :: CAD/CAM Matične ploče, procesori .. Video karte i monitori Storage Ostali hardver Overclocking & Modding PC Konfiguracije Laptopovi Vodič za kupovinu - PC har.. Tablet PC Muzička produkcija Audio kompresija Audio softver Video produkcija Video kompresija Video softver Multimedijalni uređaji Digitalni fotoaparati Digitalne kamere Home Theater Digitalni fotoaparati :: Fotografija Digitalni fotoaparati :: Vodič za kupovinu - Digita.. Elektronika Elektrotehnika Elektronika :: TV uređaji Elektronika :: Radio elektronika i tehnika Elektronika :: Mikrokontroleri Elektronika :: Audio-elektronika Auto-elektronika :: Tuning Vodič za učenje Vodič za posao Vodič za emigraciju Fizika Matematika Nauka Sertifikati Informatika Vodič za učenje :: Seminarski radovi Vodič za učenje :: Obrazovne institucije Vodič za emigraciju :: Život u USA Vodič za emigraciju :: Život u Norveškoj Vodič za emigraciju :: Život u Nemačkoj E-Poslovanje E-Kupovina IT pravo i politika razvoja IT događaji IT berza poslova IS i ERP Ekonomija Berza Cryptocoins IT berza poslova :: Arhiva IT berze poslova IT pravo i politika razvoja :: Registar Nacionalnog ID E-Poslovanje :: E-Transakcije E-Poslovanje :: Forex E-Kupovina :: Platne kartice Digitalna Televizija Advocacy Ankete Predlozi i pitanja Vesti Čekaonica Vesti :: ES leto manifestacija MadZone TechZone Poljoprivreda AutoZone MotoZone Svakodnevnica Video igre MadZone :: Zanimljivi linkovi MadZone :: Kultura TechZone :: Ergonomija TechZone :: Grejanje TechZone :: Klimatizacija TechZone :: Bela tehnika AutoZone :: Fiat Panda club Lista poslednjih: 16, 32, 64, 128 poruka.

BLACK_SWORD Član broj: 212173 Poruke: 171 *.team.ba. Sajt: www.artwebdizajn.com +3 Profil Kako mogu da isprobam može li se desiti SQL injection, sta da upišem u formi? 12.04.2010. u 14:35 - pre 170 meseci Pozdrav, napravijo sam skriptu za registraciju i login, e sad me zanima kako mogu da isprobam moželi se desiti SQL injection, sta da upišem u formi? I de ako može neko od vas ko se razumije u to dobro da isproba adresa gdje je skripta uplodana je hxxp://www.proba.bh-forum.com pa napišite ovdje možel se desiti injection. Hvala na pomoći. Code: <?php $korisnickoime=$_POST['korisnickoime']; $email=$_POST['email']; $provjera_korisnickoime=mysql_query("SELECT * FROM korisnici          WHERE korisnickoime='$korisnickoime'") or die('Nije izvršena provjera u bazi!');  $provjera_emaila=mysql_query("SELECT * FROM korisnici          WHERE email='$email'")or die('Nije izvršena provjera u bazi!'); if(preg_match('/[-!#$%&\'*+\\.\/=?^`{|}~]/',$korisnickoime)){     echo 'Upišite validno korisniÄŤko ime (samo slova, brojevi i _crte)!'; }else{         $upisuje_u_bazu="INSERT INTO korisnici(korisnickoime, email)VALUES('$korisnickoime', '$email')"; } ?> nisam nigdje stavljo zaštitu za injection, al sam zato stavljo u e mailu i korisnicko ime zabrane unošenja npr. crtica, tačaka, navodnika, itd. [Ovu poruku je menjao Goran Rakić dana 13.04.2010. u 16:24 GMT+1] www.artwebdizajn.com Odgovor na temu

Milos911 Serbia Član broj: 219127 Poruke: 1230 *.mbb.telenor.rs. +303 Profil Re: Kako mogu da isprobam moželi se desiti SQL injection, sta da upišem u formi? 12.04.2010. u 15:39 - pre 170 meseci Citat: nisam nigdje stavljo zaštitu za injection, al sam zato stavljo u e mailu i korisnicko ime zabrane unošenja npr. crtica, tačaka, navodnika, itd. [/quote] Kupijo sam automobil bez tockova, da li ce moci da se krece? Moze li neko da proveri da li stvarno nema tockove, ili su se nekako magicno pojavili? Mrzi me da proveravam ceo kod bez potrebe evo ti samo primer jednog mesta gde je moguc mysql injection: Code: $provjera_korisnickoime=mysql_query("SELECT * FROM korisnici  WHERE korisnickoime='$korisnickoime'") or die('Nije izvršena provjera u bazi!');  $provjera_emaila=mysql_query("SELECT * FROM korisnici  WHERE email='$email'") or die('Nije izvršena provjera u bazi!'); [Ovu poruku je menjao Goran Rakić dana 13.04.2010. u 16:21 GMT+1] Odgovor na temu

Goran Rakić Beograd Moderator Član broj: 999 Poruke: 3766 Sajt: blog.goranrakic.com +125 Profil Re: Kako mogu da isprobam moželi se desiti SQL injection, sta da upišem u formi? 12.04.2010. u 16:06 - pre 170 meseci Tebe ovde spašava magic_quotes funkcionalnost PHP-a, a tvoj kod je nesigurno napisan. Zaštita sa magic_quotes se može zaobići kroz slanje podataka u različitim kodnim stranama ili neispravnim višebajtnim sekvencama, ili onemogućiti nepažljivom promenom postavki servera. Daleko je sigurnije onemogućiti magic_quotes, a odraditi mysql_real_escape_string() nad promenljivama koje su deo upita. http://sr.libreoffice.org — slobodan kancelarijski paket, obrada teksta, tablice, prezentacije, legalno bez troškova licenciranja Odgovor na temu

bogdan.kecman Bogdan Kecman "specialist" Oracle srbistan Član broj: 201406 Poruke: 15887 *.31.24.217.adsl2.beograd.com. Sajt: mysql.rs +2377 Profil Re: Kako mogu da isprobam moželi se desiti SQL injection, sta da upišem u formi? 12.04.2010. u 16:09 - pre 170 meseci magic quotes je po default ugasen vec neko vreme ako se dobro secam i nikako se ne preporucuje posto su za multibyte karaktere "nesigurni" elem, "po meni" ovo treba da prenesete na neki php forum posto ovo od prvog posta nema nikakve veze sa mysql-om arhimed http://www.mysql.rs/ | http://elco.crsndoo.com/ Odgovor na temu

BLACK_SWORD Član broj: 212173 Poruke: 171 *.team.ba. Sajt: www.artwebdizajn.com +3 Profil Re: Kako mogu da isprobam moželi se desiti SQL injection, sta da upišem u formi? 12.04.2010. u 16:17 - pre 170 meseci e jbiga kako god uradim neku skriptu uvjek neko kaze nevalja, nesigurno itd, šta sad trebam uraditi u ovom kodu kad bi stavio zaštitu za injection bil onda bilo sigurno, a ja mislim da se nemože napraviti injection zbog toga što sam stavio Code: if(preg_match('/[-!#$%&\'*+\\.\/=?^`{|}~]/',$korisnickoime)) i sad kad neko htjedne da unese npr. u formu gdje je korisnicko ime 'or''=''or' izbacit ce mu grešku da se nemogu unositi navodnici i crtice itd. www.artwebdizajn.com Odgovor na temu

bogdan.kecman Bogdan Kecman "specialist" Oracle srbistan Član broj: 201406 Poruke: 15887 *.31.24.217.adsl2.beograd.com. Sajt: mysql.rs +2377 Profil Re: Kako mogu da isprobam moželi se desiti SQL injection, sta da upišem u formi? 12.04.2010. u 16:24 - pre 170 meseci black, moze .. taj preg te nece spasiti posebno sto nije multibyte ... elem ... da bi ovo imalo bar malo veze sa mysql-om .. 1. SVAKI ulaz, pocistis sa mysql_real_escape_string (i to obavezno ovaj REAL ) i to proveris da li je upaljen magic, odradis unescape pa onda odradis mysql real escape... 2. koristi svuda multibyte string operacije 3. ako vec pises app ispocetka batali mysql_* funkcije, stare su ko biblija, imaju gomilu "problema" etc etc ... koristi mysqli 4. koji god interface prema mysql-u da koristis obavezno setuj pravilno karakter enkoding konekcije arhimed http://www.mysql.rs/ | http://elco.crsndoo.com/ Odgovor na temu

BLACK_SWORD Član broj: 212173 Poruke: 171 *.team.ba. Sajt: www.artwebdizajn.com +3 Profil Re: Kako mogu da isprobam moželi se desiti SQL injection, sta da upišem u formi? 12.04.2010. u 17:08 - pre 170 meseci evo sad sam ovo vako postavio Code: $korisnickoime=stripslashes($_POST['korisnickoime']); $korisnickoime=mysql_real_escape_string($korisnickoime); $email=stripslashes($_POST['email']); $email=mysql_real_escape_string($email); Jel trebam ovo sve što ima ikakve veze sa mysql bazom postaviti kao email i korisnicko ime? www.artwebdizajn.com Odgovor na temu

Goran Rakić Beograd Moderator Član broj: 999 Poruke: 3766 Sajt: blog.goranrakic.com +125 Profil Re: Kako mogu da isprobam moželi se desiti SQL injection, sta da upišem u formi? 12.04.2010. u 17:09 - pre 170 meseci BLACK_SWORD, napomena u vezi sql ubrizgavanja pojavila se u jednoj od tvojih prethodnih tema i tu ti je ukazano na link koji tu temu obrađuje sa sve primerima i rešenjem. Milos911 ti je naveo primer gde čak ni ta regexp provera nije urađena, Bogdan ti je napisao da ni za kasniji upit regexp neće biti dovoljan iako će onemogućiti neke tipove napada. edit: Savet je da mysql_real_escape_string() ne radiš tu, već u niski kada sastavljaš upite. Na taj način ćeš biti siguran da sve prođe kroz sito. Ove funkcije možeš da pozoveš tek nakon uspostavljene veze sa bazom. Isto to moraš da uradiš i na stranici za prijavu, dakle u svakom MySQL upitu. Ako je magic_quotes uključen, zanimaće te da skloniš automatski ubačene obrnute kose crte, kao što ti je Bogdan napisao i kao što piše u PHP dokumentaciji. http://sr.libreoffice.org — slobodan kancelarijski paket, obrada teksta, tablice, prezentacije, legalno bez troškova licenciranja Odgovor na temu

Nikola Poša Backend (PHP) developer Beograd Član broj: 173839 Poruke: 1616 *.adsl-3.sezampro.yu. +33 Profil Re: Kako mogu da isprobam moželi se desiti SQL injection, sta da upišem u formi? 12.04.2010. u 17:30 - pre 170 meseci A ja mislim da smo baš skoro na PHP forumu detaljno diskutovali na temu SQL injection-a i načinima za zaštitu od istog, tako da ne znam zašto se opet diže "prašina" o tome. A između ostalog, spominjali smo i to, u PHP-u odavno deprecated podešavanje, zvano magic_quotes, kao i načinima za onesposobljavanje njegovog delovanja. Ostavio bih linkove do tih tema, al' stvarno me mrzi da ih sad tražim... btw Ne vidim zašto je ova tema u MySQL forumu, SQL Injection se realizuje zahvaljujući propustima u backend (domain) logici, MySQL baza mu tu dođe kao meta samog napada. Odgovor na temu

BLACK_SWORD Član broj: 212173 Poruke: 171 *.team.ba. Sajt: www.artwebdizajn.com +3 Profil Re: Kako mogu da isprobam može li se desiti SQL injection, sta da upišem u formi? 14.04.2010. u 12:19 - pre 170 meseci dali je vako dobro zaštitit skriptu od injectiona? Code: //Za zaštitu od mysql injection. if(get_magic_quotes_gpc()){ $korisnickoime_za_provjeru=stripslashes($_POST['korisnickoime']); } $korisnickoime_za_provjeru=mysql_real_escape_string($korisnickoime_za_provjeru); //Provjera da li je korisničko ime u upotrebi. $provjera_korisnickoime=mysql_query("SELECT korisnickoime FROM korisnici          WHERE korisnickoime='$korisnickoime_za_provjeru'") or die('Nije izvršena provjera u bazi!'); $provjereno_korisnickoime=mysql_num_rows($provjera_korisnickoime); korisničko ime mi u bazu se sprema kao `korisnickoime` varchar(30) NOT NULL, i dali trebam staviti uzvičnik u funkciji if(!get_magic_quotes_gpc()){ ili bez uzvičnika if(get_magic_quotes_gpc()){ i možeteli mi objasniti za sto sluzi ovaj uzvičnik "!" u PHP [Ovu poruku je menjao Goran Rakić dana 14.04.2010. u 13:30 GMT+1] www.artwebdizajn.com Odgovor na temu

Goran Rakić Beograd Moderator Član broj: 999 Poruke: 3766 Sajt: blog.goranrakic.com +125 Profil Re: Kako mogu da isprobam može li se desiti SQL injection, sta da upišem u formi? 14.04.2010. u 12:31 - pre 170 meseci Logički operatori: http://php.net/manual/en/language.operators.logical.php Opis funkcije: http://php.net/manual/en/function.get-magic-quotes-gpc.php http://sr.libreoffice.org — slobodan kancelarijski paket, obrada teksta, tablice, prezentacije, legalno bez troškova licenciranja Odgovor na temu

BLACK_SWORD Član broj: 212173 Poruke: 171 *.team.ba. Sajt: www.artwebdizajn.com +3 Profil Re: Kako mogu da isprobam može li se desiti SQL injection, sta da upišem u formi? 14.04.2010. u 21:35 - pre 170 meseci e vako, podaci koji se spremaju u mysql bazu tipa varchar to jest. korisnicko ime, email, itd. eskejpujem ih vako: Code: //Za zaštitu od mysql injection. if(get_magic_quotes_gpc()){  $korisnickoime=stripslashes($_POST['korisnickoime']); $email=stripslashes($_POST['email']); } $korisnickoime=mysql_real_escape_string($korisnickoime); $email=mysql_real_escape_string($email); //Upisivanje u bazu. $upisuje_u_bazu="INSERT INTO korisnici(korisnickoime, email)VALUES('$korisnickoime', '$email')"; šta mislite dali je to dobro? I zanima me dali trebam eskejpovat i podatke koji su tipa u mysql bazi enum? npr. gdje korisnik pri registraciji odabire spol, tu može samo odabrati "m" i "z" i dali će moći haker tu na tim da napravi injection ako ne ekejpujem? Hvala na odgovoru! www.artwebdizajn.com Odgovor na temu

Goran Rakić Beograd Moderator Član broj: 999 Poruke: 3766 Sajt: blog.goranrakic.com +125 Profil Re: Kako mogu da isprobam može li se desiti SQL injection, sta da upišem u formi? 14.04.2010. u 22:00 - pre 170 meseci Citat: BLACK_SWORD:  I zanima me dali trebam eskejpovat i podatke koji su tipa u mysql bazi enum? npr. gdje korisnik pri registraciji odabire spol, tu može samo odabrati "m" i "z" i dali će moći haker tu na tim da napravi injection ako ne ekejpujem? Nisi ti uopšte razumeo šta je sql ubrizgavanje i gde tu tačno nastaje problem. http://sr.libreoffice.org — slobodan kancelarijski paket, obrada teksta, tablice, prezentacije, legalno bez troškova licenciranja Odgovor na temu

BLACK_SWORD Član broj: 212173 Poruke: 171 *.team.ba. Sajt: www.artwebdizajn.com +3 Profil Re: Kako mogu da isprobam može li se desiti SQL injection, sta da upišem u formi? 15.04.2010. u 21:58 - pre 170 meseci e vako: u skriptu za registraciju sam stavio da kad se korisnik registruje da se njegova ip adresa spremi u bazu, e sad me zanima dali trebam eskejpovat i ip adresu? vako sam stavio upis u bazu Code: $upisuje_u_bazu="INSERT INTO korisnici(korisnickoime, lozinka, email, spol, datum, ip_korisnika, aktivacija)VALUES ('$korisnickoime', '$lozinka', '$email', '$spol', 'Y-m-d H:i:s', '".$_SERVER['REMOTE_ADDR']."', '$aktivacija')"; a ovo sam eskejpovo: Code: //Za zaštitu od mysql injection. if(get_magic_quotes_gpc()){  $korisnickoime=stripslashes($_POST['korisnickoime']); $email=stripslashes($_POST['email']); $spol=stripslashes($_POST['spol']); } $korisnickoime=mysql_real_escape_string($korisnickoime); $email=mysql_real_escape_string($email); $spol=mysql_real_escape_string($spol); e sad me samo zanima sta da uradim sa ip adresom, ja mislim da je nemoram eskejpovat, al opet nisam siguran, pa bi vas molio da mi kažete. Hvala na odgovoru! www.artwebdizajn.com Odgovor na temu