abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    LLVM 22.1.0
    dnes 12:44 | Nová verze

    Byla vydána nová verze 22.1.0, tj. první stabilní verze z nové řady 22.1.x, překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, LLD, Extra Clang Tools a Libc++.

    Ladislav Hagara | Komentářů: 0
    Emulátor x86 čistě v CSS
    dnes 12:22 | Humor

    X86CSS je experimentální webový emulátor instrukční sady x86 napsaný výhradně v CSS, tedy bez JavaScriptu nebo dalších dynamických prvků. Stránka 'spouští' assemblerovový program mikroprocesoru 8086 a názorně tak demonstruje, že i prosté CSS může fungovat jako Turingovsky kompletní jazyk. Zdrojový kód projektu je na GitHubu.

    NUKE GAZA! 🎆 | Komentářů: 2
    CGit 1.3
    dnes 12:11 | Nová verze

    Po šesti letech byla vydána nová verze 1.3 webového rozhraní ke gitovým repozitářům CGit.

    Ladislav Hagara | Komentářů: 0
    Lakka 6.1 s RetroArchem 1.22.2
    dnes 02:33 | Nová verze

    Byla vydána nová verze 6.1 linuxové distribuce Lakka (Wikipedie), jež umožňuje transformovat podporované počítače v herní konzole. Nejnovější Lakka přichází s RetroArchem 1.22.2.

    Ladislav Hagara | Komentářů: 0
    GNU Octave 11.1.0
    dnes 02:11 | Nová verze

    Matematický software GNU Octave byl vydán ve verzi 11.1.0. Podrobnosti v poznámkách k vydání. Vedle menších změn rozhraní jsou jako obvykle zahrnuta také výkonnostní vylepšení a zlepšení kompatibility s Matlabem.

    |🇵🇸 | Komentářů: 1
    Weston 15.0.0
    včera 21:44 | Nová verze

    Weston, referenční implementace kompozitoru pro Wayland, byl vydán ve verzi 15.0.0. Přehled novinek v příspěvku na blogu společnosti Collabora. Vypíchnout lze Lua shell umožňující psát správu oken v jazyce Lua.

    Ladislav Hagara | Komentářů: 0
    Apache NetBeans 29
    včera 21:11 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 29 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 3
    Ústavní soud přestavil chatbota využívajícího umělou inteligenci
    včera 18:22 | IT novinky

    Ústavní soud na svých webových stránkách i v databázi NALUS (NÁLezy a USnesení Ústavního soudu) představil novou verzi chatbota využívajícího umělou inteligenci. Jeho posláním je usnadnit veřejnosti orientaci v rozsáhlé judikatuře Ústavního soudu a pomoci jí s vyhledáváním informací i na webových stránkách soudu, a to i v jiných jazycích. Jde o první nasazení umělé inteligence v rámci webových stránek a databází judikatury českých soudů.

    Ladislav Hagara | Komentářů: 17
    DietPi 10.1
    včera 13:00 | Nová verze

    Byla vydána nová verze 10.1 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Vypíchnuta je podpora NanoPi Zero2 a balíček WhoDB.

    Ladislav Hagara | Komentářů: 0
    OSSConf 2026
    včera 12:44 | Komunita

    Konference Otvorený softvér vo vzdelávaní, výskume a v IT riešeniach OSSConf 2026 proběhne od 1. do 3. července 2026 na Žilinské univerzita v Žilině: "Cieľom našej konferencie je poskytnúť priestor pre informovanie o novinkách vo vývoji otvoreného softvéru a otvorených technológií, o možnostiach využitia týchto nástrojov vo vede a vzdelávaní a taktiež poskytnúť priestor pre neformálne priateľské stretnutie užívateľov a priaznivcov

    … více »
    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (18%)
     (6%)
     (0%)
     (11%)
     (27%)
     (2%)
     (5%)
     (1%)
     (12%)
     (26%)
    Celkem 951 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Databázová poradna / Jak se branit proti SQL injection flaw in the php coding.
    Štítky: databáze, HTML, Internet, MySQL, PHP, PostgreSQL, programování, web

    Dotaz: Jak se branit proti SQL injection flaw in the php coding.

    26.3.2006 08:02 anon123 | skóre: 35 | blog: ganomi
    Jak se branit proti SQL injection flaw in the php coding.
    Přečteno: 351×

    Nekdo me upozornil na SQL injection flaw in the php coding.

    Muzete me navest jak se proti tomu branit.

    Diky

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    26.3.2006 09:33 t0ms
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Programming:PHP:SQL_Injection :-).
    26.3.2006 12:35 anon123 | skóre: 35 | blog: ganomi
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.

    Takze jestli jsem spravne rozumel, tak chyba je v programovani?

    Web je od firmy, takze se obratit na ni?

    Webhosting si delam sam.

    Jakym zpusobem si to muzu sam prekontrolovat?

    26.3.2006 13:01 Thaweg | skóre: 16 | blog: Herbatka | Ostrava
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Překontrolovat to jde jednoduše - zkus SQL injection třeba podle výše uvedeného odkazu (nějaký šetrný příkaz, ne zkoušet smazat databázi ;-) ) a buď to aplikace má ošetřeno, podvržený požadavek zahodí a nic zajímavého nebude (správné chování), nebo najdeš díru v aplikaci.
    Neoficiální informace k Ostravské univerzitě
    26.3.2006 13:46 anon123 | skóre: 35 | blog: ganomi
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.

    Prominte jsem v tomto nezkuseny. Takze jeste dotaz.

    Cim myslite aplikaci? Je tedy dira v nastaveni MYSQL nebo dira v programingu webu?

    Potreboval bych nejake doporuceni co delat, abych tomu zamezil.

    26.3.2006 17:49 Vladimír
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Tady jsou popsány dobré příklady: http://www.unixwiz.net/techtips/sql-injection.html.. Je to anglicky. V podstatě se v PHP doporučuje použít funkce mysql_real_escape_string() pro každou proměnnou přicházející z formuláře.
    26.3.2006 19:33 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Ono by vůbec nejlepší bylo, kdyby interface pro MySQL v PHP nebyl napsán tak hloupě, aby nutil programátora cpát data od klienta do SQL dotazu…
    27.3.2006 09:25 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    A jak by se teda data od uzivatele ukladala do tabulek? Jsem zacatecnik a dotaz myslim vazne, bez jakekoliv ironie nebo neceho takoveho. Diky za odpoved.

    Dejv
    Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...
    27.3.2006 12:56 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Podívejte se třeba na interface pro InterBase/Firebird, v dohledné době (možná dokonce už teď) by to podobně mělo fungovat i pro PostgreSQL. Funguje to tak, že na příslušném místě SQL dotazu dáte jen zástupný symbol (otazník) a hodnotu předáte zvlášť jako samostatný parametr. Příklad: 
      ibase_query($conn, 'update TBL set COL=? where ID=?', $val, $id);
    nebo 
      $qry = ibase_prepare($conn, 'insert into TBL(COL) values (?)');
  for ($i=1; $i<=100; i++)
    ibase_execute($qry, $i);
  ibase_unprepare($qry);
    Když si na to zvyknete, je to podstatně praktičtější a SQL injection nehrozí - dokud nezačnete vkládat data od klienta do dotazu, což ale v naprosté většině případů není potřeba.
    27.3.2006 15:12 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Hm, obavam se, ze pro hlubsi pochopeni bych se musel do problemu zanorit prilis (vzhledem ke svym znalostem a zkusenostem) hluboko :-). Protoze momentalne nevidim rozdil, jestli zavadna data poslu soucasne s dotazem, nebo jako parametr. Jak rikam - jsem zacatecnik. Mozna taky ne zcela presne rozumim pojmu "SQL injection".

    Ale presto (nebo prave proto) diky za snahu :-)

    Dejv
    Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...
    27.3.2006 18:24 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Stydim se jak male decko pristizene v obchode pri kradezi cokolady a sypu si popel na hlavu. Stacilo si precist odkaz v prvni reakci a vse je hned jasnejsi. Jak "SQL injection", tak duvod predavani parametru "jako parametru".

    Dejv
    Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...
    27.3.2006 10:57 podlesh | skóre: 38 | Freiburg im Breisgau
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    SQL injection flaw je docela normální bug, chyba v aplikaci.
    28.3.2006 01:04 Franta B.
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Zajimalo by me jak mam udelat injection v dotazu 
    $query = "SELECT * FROM users WHERE username='$_REQUEST[username]' AND password='$_REQUEST[password]'";
    do password jsem dal: ' OR 'a'='a a funguje to, ale jak zjistim data z tabulky?
    28.3.2006 02:52 billgates | skóre: 27
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Musite si najst nejaky prikaz, ktory vypise riadky z tabulky, napriklad ak je to obchod, tak nejaky zoznam tovaru alebo zoznam ludi a ten potom takymto sposobom zmenit.
    28.3.2006 14:52 Franta B.
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Mohl byste mi dat nejaky priklad? treba jak vypisu uzivatele pomoci injekce z tabulky users v tomhle prikladu? 
    $query = "SELECT * FROM users WHERE username='$_REQUEST[username]' AND password='$_REQUEST[password]'";
    28.3.2006 02:50 billgates | skóre: 27
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Ja vo svojich skriptoch vzdy pouzivam nasledujucu konstrukciu: 
    function myentities($text)
{
  $bad=array('&','"',"'");
  $good=array('&amp;','&quot;','&#039;');
  $text=str_replace($bad,$good,$text);
  return $text;
}

function mysprintf($format) {
  $args = func_get_args();
  unset($args[0]);
  foreach($args as $id => $v){
    $args[$id]=myentities($v);
  }
  return vsprintf($format,$args);
}
    a volanie SQL nasledovne: 
    $prikaz=mysprintf("SELECT * FROM login WHERE login='%s' AND pass=SHA1('%s');",$_POST['login'],$_POST['pass']);
$q=mysql_query($prikaz);
    Vo funkcii myentities mam casto este dalsie znaky, ktore potrebujem pri nacitani konvertovat. Kedze som C-ckar, stale pouzivam konstrukcie s sprintf, takze je to pre mna minimalna zmena a uplne mi to vyhovuje.
    28.3.2006 02:50 billgates | skóre: 27
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Bolo to myslene ako sposob ocharny proti SQL injection.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.