abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 0
včera 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 18
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 8
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 2
2.12. 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
2.12. 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
2.12. 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 767 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Jak se branit proti SQL injection flaw in the php coding.

26.3.2006 08:02 anon123 | skóre: 35 | blog: ganomi
Jak se branit proti SQL injection flaw in the php coding.
Přečteno: 240×

Nekdo me upozornil na SQL injection flaw in the php coding.

Muzete me navest jak se proti tomu branit.

Diky

Odpovědi

26.3.2006 09:33 t0ms
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
26.3.2006 12:35 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.

Takze jestli jsem spravne rozumel, tak chyba je v programovani?

Web je od firmy, takze se obratit na ni?

Webhosting si delam sam.

Jakym zpusobem si to muzu sam prekontrolovat?

26.3.2006 13:01 Thaweg | skóre: 16 | blog: Herbatka | Ostrava
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Překontrolovat to jde jednoduše - zkus SQL injection třeba podle výše uvedeného odkazu (nějaký šetrný příkaz, ne zkoušet smazat databázi ;-) ) a buď to aplikace má ošetřeno, podvržený požadavek zahodí a nic zajímavého nebude (správné chování), nebo najdeš díru v aplikaci.
26.3.2006 13:46 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.

Prominte jsem v tomto nezkuseny. Takze jeste dotaz.

Cim myslite aplikaci? Je tedy dira v nastaveni MYSQL nebo dira v programingu webu?

Potreboval bych nejake doporuceni co delat, abych tomu zamezil.

26.3.2006 17:49 Vladimír
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Tady jsou popsány dobré příklady: http://www.unixwiz.net/techtips/sql-injection.html.. Je to anglicky. V podstatě se v PHP doporučuje použít funkce mysql_real_escape_string() pro každou proměnnou přicházející z formuláře.
26.3.2006 19:33 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Ono by vůbec nejlepší bylo, kdyby interface pro MySQL v PHP nebyl napsán tak hloupě, aby nutil programátora cpát data od klienta do SQL dotazu…
27.3.2006 09:25 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
A jak by se teda data od uzivatele ukladala do tabulek? Jsem zacatecnik a dotaz myslim vazne, bez jakekoliv ironie nebo neceho takoveho. Diky za odpoved.

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
27.3.2006 12:56 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Podívejte se třeba na interface pro InterBase/Firebird, v dohledné době (možná dokonce už teď) by to podobně mělo fungovat i pro PostgreSQL. Funguje to tak, že na příslušném místě SQL dotazu dáte jen zástupný symbol (otazník) a hodnotu předáte zvlášť jako samostatný parametr. Příklad:
  ibase_query($conn, 'update TBL set COL=? where ID=?', $val, $id);
nebo
  $qry = ibase_prepare($conn, 'insert into TBL(COL) values (?)');
  for ($i=1; $i<=100; i++)
    ibase_execute($qry, $i);
  ibase_unprepare($qry);
Když si na to zvyknete, je to podstatně praktičtější a SQL injection nehrozí - dokud nezačnete vkládat data od klienta do dotazu, což ale v naprosté většině případů není potřeba.
27.3.2006 15:12 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Hm, obavam se, ze pro hlubsi pochopeni bych se musel do problemu zanorit prilis (vzhledem ke svym znalostem a zkusenostem) hluboko :-). Protoze momentalne nevidim rozdil, jestli zavadna data poslu soucasne s dotazem, nebo jako parametr. Jak rikam - jsem zacatecnik. Mozna taky ne zcela presne rozumim pojmu "SQL injection".

Ale presto (nebo prave proto) diky za snahu :-)

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
27.3.2006 18:24 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Stydim se jak male decko pristizene v obchode pri kradezi cokolady a sypu si popel na hlavu. Stacilo si precist odkaz v prvni reakci a vse je hned jasnejsi. Jak "SQL injection", tak duvod predavani parametru "jako parametru".

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
27.3.2006 10:57 podlesh | skóre: 37 | Praha
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
SQL injection flaw je docela normální bug, chyba v aplikaci.
28.3.2006 01:04 Franta B.
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Zajimalo by me jak mam udelat injection v dotazu
$query = "SELECT * FROM users WHERE username='$_REQUEST[username]' AND password='$_REQUEST[password]'";
do password jsem dal: ' OR 'a'='a a funguje to, ale jak zjistim data z tabulky?
BWPOW avatar 28.3.2006 02:52 BWPOW | skóre: 21 | Kosice
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Musite si najst nejaky prikaz, ktory vypise riadky z tabulky, napriklad ak je to obchod, tak nejaky zoznam tovaru alebo zoznam ludi a ten potom takymto sposobom zmenit.
Prisiel som, videl som, hmm ... bwpow.eu
28.3.2006 14:52 Franta B.
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Mohl byste mi dat nejaky priklad? treba jak vypisu uzivatele pomoci injekce z tabulky users v tomhle prikladu?
$query = "SELECT * FROM users WHERE username='$_REQUEST[username]' AND password='$_REQUEST[password]'";
BWPOW avatar 28.3.2006 02:50 BWPOW | skóre: 21 | Kosice
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Ja vo svojich skriptoch vzdy pouzivam nasledujucu konstrukciu:
function myentities($text)
{
  $bad=array('&','"',"'");
  $good=array('&amp;','&quot;','&#039;');
  $text=str_replace($bad,$good,$text);
  return $text;
}

function mysprintf($format) {
  $args = func_get_args();
  unset($args[0]);
  foreach($args as $id => $v){
    $args[$id]=myentities($v);
  }
  return vsprintf($format,$args);
}
a volanie SQL nasledovne:
$prikaz=mysprintf("SELECT * FROM login WHERE login='%s' AND pass=SHA1('%s');",$_POST['login'],$_POST['pass']);
$q=mysql_query($prikaz);
Vo funkcii myentities mam casto este dalsie znaky, ktore potrebujem pri nacitani konvertovat. Kedze som C-ckar, stale pouzivam konstrukcie s sprintf, takze je to pre mna minimalna zmena a uplne mi to vyhovuje.
Prisiel som, videl som, hmm ... bwpow.eu
BWPOW avatar 28.3.2006 02:50 BWPOW | skóre: 21 | Kosice
Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
Bolo to myslene ako sposob ocharny proti SQL injection.
Prisiel som, videl som, hmm ... bwpow.eu

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.