abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 22:22 | Komunita

Dle plánu byl měl Debian 9 s kódovým názvem Stretch vyjít v sobotu 17. června. Po celém světě se začínají plánovat Release Parties. Oznámeno bylo vydání čtvrté RC (release candidate) verze instalátoru pro Debian 9 Stretch.

Ladislav Hagara | Komentářů: 0
26.5. 22:22 | Komunita

V Norimberku probíhá do neděle 28. května openSUSE Conference 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online. K dispozici jsou také videozáznamy (YouTube) již proběhnuvších přednášek. Dění lze sledovat na Twitteru.

Ladislav Hagara | Komentářů: 0
26.5. 11:33 | IT novinky

Red Hat kupuje společnost Codenvy stojící za stejnojmenným webovým (cloudovým) integrovaným vývojovým prostředím (WIDE) postaveném na Eclipse Che.

Ladislav Hagara | Komentářů: 0
26.5. 08:55 | Nová verze

V listopadu 2014 byl představen fork Debianu bez systemd pojmenovaný Devuan. Po dva a půl roce jeho vývojáři oznámili vydání první stabilní verze 1.0. Jedná se o verzi s dlouhodobou podporou (LTS) a její kódové jméno je Jessie, podle planetky s katalogovým číslem 10 464.

Ladislav Hagara | Komentářů: 10
25.5. 20:22 | Zajímavý článek

Nadace Raspberry Pi vydala již osmapadesáté číslo (pdf) stostránkového anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a druhé číslo (pdf) časopisu Hello World primárně určeného pro učitele informatiky a výpočetní techniky.

Ladislav Hagara | Komentářů: 0
25.5. 19:55 | Humor

Portál Stack Overflow informuje na svém blogu, že pomohl ukončit editor Vim už více než milionu vývojářů. V loňském roce například hledal odpověď na otázku Jak ukončit editor Vim v průměru 1 z 20 000 návštěvníků.

Ladislav Hagara | Komentářů: 10
25.5. 19:22 | Nová verze

Po pěti měsících od vydání verze 3.5.0 byla vydána nová stabilní verze 3.6.0, tj. první z nové řady 3.6, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie). Z novinek lze zmínit například podporu dvou nových 64bitových platforem little-endian POWER machines (ppc64le) a IBM z Systems (s390x) nebo nové balíčky Rust 1.17.0, Cargo 0.18.0, GHC 8.0.2 a Julia 0.5.2.

Ladislav Hagara | Komentářů: 0
24.5. 21:33 | Bezpečnostní upozornění

V Sambě byla nalezena a opravena bezpečnostní chyba CVE-2017-7494. Má-li útočník právo ukládat soubory na vzdálený server, může tam uložit připravenou sdílenou knihovnu a přinutit smbd server k jejímu načtení a tím pádem ke spuštění libovolných příkazů. Chyba je opravena v upstream verzích 4.6.4, 4.5.10 a 4.4.14. Chyba se týká všech verzí Samby od verze 3.5.0 vydané 1. března 2010.

Ladislav Hagara | Komentářů: 7
24.5. 20:44 | Nová verze

Byla vydána nová stabilní verze 4.3.0 integrovaného vývojového prostředí (IDE) Qt Creator. Z novinek lze zmínit například integraci editoru kódu do Qt Quick Designeru.

Ladislav Hagara | Komentářů: 1
24.5. 20:11 | Bezpečnostní upozornění

Společnost Check Point informuje na svém blogu o novém vektoru útoku. Pomocí titulků lze útočit na multimediální přehrávače VLC, Kodi, Popcorn Time, Stremio a pravděpodobně i další. Otevření útočníkem připraveného souboru s titulky v neaktualizovaném multimediálním přehrávači může vést ke spuštění libovolných příkazů pod právy uživatele. Ukázka na YouTube. Chyba je opravena v Kodi 17.2 nebo ve VLC 2.2.6.

Ladislav Hagara | Komentářů: 14
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (33%)
 (1%)
 (8%)
 (44%)
 (9%)
Celkem 629 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: Jak se branit proti SQL injection flaw in the php coding.

    26.3.2006 08:02 anon123 | skóre: 35 | blog: ganomi
    Jak se branit proti SQL injection flaw in the php coding.
    Přečteno: 243×

    Nekdo me upozornil na SQL injection flaw in the php coding.

    Muzete me navest jak se proti tomu branit.

    Diky

    Odpovědi

    26.3.2006 09:33 t0ms
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    26.3.2006 12:35 anon123 | skóre: 35 | blog: ganomi
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.

    Takze jestli jsem spravne rozumel, tak chyba je v programovani?

    Web je od firmy, takze se obratit na ni?

    Webhosting si delam sam.

    Jakym zpusobem si to muzu sam prekontrolovat?

    26.3.2006 13:01 Thaweg | skóre: 16 | blog: Herbatka | Ostrava
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Překontrolovat to jde jednoduše - zkus SQL injection třeba podle výše uvedeného odkazu (nějaký šetrný příkaz, ne zkoušet smazat databázi ;-) ) a buď to aplikace má ošetřeno, podvržený požadavek zahodí a nic zajímavého nebude (správné chování), nebo najdeš díru v aplikaci.
    26.3.2006 13:46 anon123 | skóre: 35 | blog: ganomi
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.

    Prominte jsem v tomto nezkuseny. Takze jeste dotaz.

    Cim myslite aplikaci? Je tedy dira v nastaveni MYSQL nebo dira v programingu webu?

    Potreboval bych nejake doporuceni co delat, abych tomu zamezil.

    26.3.2006 17:49 Vladimír
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Tady jsou popsány dobré příklady: http://www.unixwiz.net/techtips/sql-injection.html.. Je to anglicky. V podstatě se v PHP doporučuje použít funkce mysql_real_escape_string() pro každou proměnnou přicházející z formuláře.
    26.3.2006 19:33 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Ono by vůbec nejlepší bylo, kdyby interface pro MySQL v PHP nebyl napsán tak hloupě, aby nutil programátora cpát data od klienta do SQL dotazu…
    27.3.2006 09:25 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    A jak by se teda data od uzivatele ukladala do tabulek? Jsem zacatecnik a dotaz myslim vazne, bez jakekoliv ironie nebo neceho takoveho. Diky za odpoved.

    Dejv
    Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
    27.3.2006 12:56 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Podívejte se třeba na interface pro InterBase/Firebird, v dohledné době (možná dokonce už teď) by to podobně mělo fungovat i pro PostgreSQL. Funguje to tak, že na příslušném místě SQL dotazu dáte jen zástupný symbol (otazník) a hodnotu předáte zvlášť jako samostatný parametr. Příklad:
      ibase_query($conn, 'update TBL set COL=? where ID=?', $val, $id);
    
    nebo
      $qry = ibase_prepare($conn, 'insert into TBL(COL) values (?)');
      for ($i=1; $i<=100; i++)
        ibase_execute($qry, $i);
      ibase_unprepare($qry);
    
    Když si na to zvyknete, je to podstatně praktičtější a SQL injection nehrozí - dokud nezačnete vkládat data od klienta do dotazu, což ale v naprosté většině případů není potřeba.
    27.3.2006 15:12 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Hm, obavam se, ze pro hlubsi pochopeni bych se musel do problemu zanorit prilis (vzhledem ke svym znalostem a zkusenostem) hluboko :-). Protoze momentalne nevidim rozdil, jestli zavadna data poslu soucasne s dotazem, nebo jako parametr. Jak rikam - jsem zacatecnik. Mozna taky ne zcela presne rozumim pojmu "SQL injection".

    Ale presto (nebo prave proto) diky za snahu :-)

    Dejv
    Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
    27.3.2006 18:24 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Stydim se jak male decko pristizene v obchode pri kradezi cokolady a sypu si popel na hlavu. Stacilo si precist odkaz v prvni reakci a vse je hned jasnejsi. Jak "SQL injection", tak duvod predavani parametru "jako parametru".

    Dejv
    Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
    27.3.2006 10:57 podlesh | skóre: 37 | Praha
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    SQL injection flaw je docela normální bug, chyba v aplikaci.
    28.3.2006 01:04 Franta B.
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Zajimalo by me jak mam udelat injection v dotazu
    $query = "SELECT * FROM users WHERE username='$_REQUEST[username]' AND password='$_REQUEST[password]'";
    
    do password jsem dal: ' OR 'a'='a a funguje to, ale jak zjistim data z tabulky?
    BWPOW avatar 28.3.2006 02:52 BWPOW | skóre: 21 | Kosice
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Musite si najst nejaky prikaz, ktory vypise riadky z tabulky, napriklad ak je to obchod, tak nejaky zoznam tovaru alebo zoznam ludi a ten potom takymto sposobom zmenit.
    Prisiel som, videl som, hmm ... bwpow.eu
    28.3.2006 14:52 Franta B.
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Mohl byste mi dat nejaky priklad? treba jak vypisu uzivatele pomoci injekce z tabulky users v tomhle prikladu?
    $query = "SELECT * FROM users WHERE username='$_REQUEST[username]' AND password='$_REQUEST[password]'";
    BWPOW avatar 28.3.2006 02:50 BWPOW | skóre: 21 | Kosice
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Ja vo svojich skriptoch vzdy pouzivam nasledujucu konstrukciu:
    function myentities($text)
    {
      $bad=array('&','"',"'");
      $good=array('&amp;','&quot;','&#039;');
      $text=str_replace($bad,$good,$text);
      return $text;
    }
    
    function mysprintf($format) {
      $args = func_get_args();
      unset($args[0]);
      foreach($args as $id => $v){
        $args[$id]=myentities($v);
      }
      return vsprintf($format,$args);
    }
    
    a volanie SQL nasledovne:
    $prikaz=mysprintf("SELECT * FROM login WHERE login='%s' AND pass=SHA1('%s');",$_POST['login'],$_POST['pass']);
    $q=mysql_query($prikaz);
    
    Vo funkcii myentities mam casto este dalsie znaky, ktore potrebujem pri nacitani konvertovat. Kedze som C-ckar, stale pouzivam konstrukcie s sprintf, takze je to pre mna minimalna zmena a uplne mi to vyhovuje.
    Prisiel som, videl som, hmm ... bwpow.eu
    BWPOW avatar 28.3.2006 02:50 BWPOW | skóre: 21 | Kosice
    Rozbalit Rozbalit vše Re: Jak se branit proti SQL injection flaw in the php coding.
    Bolo to myslene ako sposob ocharny proti SQL injection.
    Prisiel som, videl som, hmm ... bwpow.eu

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.