/
  • خطر اطلاعات از طریق $_GET

  • ارسال پاسخ   امتیاز موضوع:
    • 1 رأی - میانگین امیتازات: 4
    • 1
    • 2
    • 3
    • 4
    • 5

    حالت موضوعی | حالت خطی خطر اطلاعات از طریق $_GET
    نویسنده پیام
    ahora آفلاین
    کسی که از شکست نا امید نمیشه
    ****

    ارسال‌ها: 384
    تاریخ عضویت: ۱۳۸۷ دي ۹
    اعتبار: 4
    تشکرها : 130
    ( 54 تشکر در 41 ارسال )
    ارسال: #1
    خطر اطلاعات از طریق $_GET
    سلام

    من تمام تایپیک های امنیتی این سایت رو خوندم ولی چیزی که میخواستم پیدا نکردم

    میخواستم ببینم کسی هست مشکل منو حل کنه

    از طریق $_GET یه سری اطلاعات رو میخوام بگیرم ولی خب یه چند جاهایی خیلی وقت پیشا خوندم که الان پیداش نکردم آدرسش رو که از این طریق دسترسی پیدا میکنن بخ کوئری هایی که اجرا مشه

    ببینید
    کد PHP:
    $id $_GET['id'];

    $query mysql_query("SELECT * FROM test WHERE id='$id ",$db); 
    حالا
    اولباً چطوری این کوئری رو دست میبرن توش و از اون طرق چطور میشه کاری کرد که تو هیچ شرایطی نشه تو کوئری ودستوران mydql_fetvh_assoc اون دست برد
    چون بعد از کوئری بالا دستوران تو یه حلقه قرار میگیره و استخراج میشه برام

    امیدوارم بتونین کمکم کنید من تو سایته ای انگلیسی هم سرچ کردم ولی زبانم زیاد قوی نبود و وقت ندارم ترجمه کنم چون زیاد وقتم رو میگیره برای همین امیدوارم شما آدرس به من معرفی نکنید و جوابم رو کامل بدید

    از همگی پیشاپیش تشکر میکنم
    __________________________________________________________________________
    با تشکر ممل آمریکایی
    ۱۳۸۸ آذر ۲۸ ۰۷:۱۳ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط :
    oia آفلاین
    محمد ثانی
    *****

    ارسال‌ها: 2,014
    تاریخ عضویت: ۱۳۸۷ آذر ۲۶
    اعتبار: 66
    تشکرها : 2330
    ( 2091 تشکر در 1290 ارسال )
    ارسال: #2
    RE: خطر اطلاعات از طریق $_GET
    خب اینجا برنامه حساب کرده که id$ حتما یک عدده که ممکنه نباشه
    پس برای اطمینان کنتل کن که یک عدد باشه
    کد PHP:
    if(!is_int($id)) die('error'); 
    یا اون رو به یک عدد تبدیل کن
    کد PHP:
    $id = (int) $_GET['id']; 
    ۱۳۸۸ آذر ۲۸ ۰۷:۴۷ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : HiddeN
    ahora آفلاین
    کسی که از شکست نا امید نمیشه
    ****

    ارسال‌ها: 384
    تاریخ عضویت: ۱۳۸۷ دي ۹
    اعتبار: 4
    تشکرها : 130
    ( 54 تشکر در 41 ارسال )
    ارسال: #3
    RE: خطر اطلاعات از طریق $_GET
    خب تشکر

    به جز این مورد دیگه ای نبود؟

    حالا بر فرض به جای این آی دی یک اسم باشه رشته - اون رو چیکار کنیم؟
    __________________________________________________________________________
    با تشکر ممل آمریکایی
    ۱۳۸۸ آذر ۲۹ ۱۱:۴۲ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط :
    scorpion آفلاین
    رضا حقیقی
    ***

    ارسال‌ها: 245
    تاریخ عضویت: ۱۳۸۷ بهمن ۲۷
    اعتبار: 3
    تشکرها : 94
    ( 276 تشکر در 144 ارسال )
    ارسال: #4
    RE: خطر اطلاعات از طریق $_GET
    http://php.net/manual/en/function.mysql-...string.php
    __________________________________________________________________________
    رضا حقیقی / Reza Haghighi
    ۱۳۸۸ آذر ۲۹ ۱۲:۲۵ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : oia
    ahora آفلاین
    کسی که از شکست نا امید نمیشه
    ****

    ارسال‌ها: 384
    تاریخ عضویت: ۱۳۸۷ دي ۹
    اعتبار: 4
    تشکرها : 130
    ( 54 تشکر در 41 ارسال )
    ارسال: #5
    RE: خطر اطلاعات از طریق $_GET
    دستتون درد نکنه ولی من قبلاض عرض کردم

    نقل قول: امیدوارم بتونین کمکم کنید من تو سایته ای انگلیسی هم سرچ کردم ولی زبانم زیاد قوی نبود و وقت ندارم ترجمه کنم چون زیاد وقتم رو میگیره برای همین امیدوارم شما آدرس به من معرفی نکنید و جوابم رو کامل بدید
    __________________________________________________________________________
    با تشکر ممل آمریکایی
    ۱۳۸۸ آذر ۲۹ ۱۲:۳۷ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط :
    admin آفلاین
    وحید سهرابلو
    **********

    ارسال‌ها: 5,697
    تاریخ عضویت: ۱۳۸۷ آذر ۲۴
    اعتبار: 100
    تشکرها : 1362
    ( 6197 تشکر در 3438 ارسال )
    ارسال: #6
    RE: خطر اطلاعات از طریق $_GET
    برای‌ همه ورودی های اطلاعات باید چیزی که رضا حقیقی گفت رو رعایت کنی.
    بهتره با انگلیسی کنار بیایین چون منوال انگلیسی هست و همیشه بهترین راهنماست
    ۱۳۸۸ آذر ۲۹ ۰۱:۰۷ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : oia
    oia آفلاین
    محمد ثانی
    *****

    ارسال‌ها: 2,014
    تاریخ عضویت: ۱۳۸۷ آذر ۲۶
    اعتبار: 66
    تشکرها : 2330
    ( 2091 تشکر در 1290 ارسال )
    ارسال: #7
    RE: خطر اطلاعات از طریق $_GET
    کد PHP:
    // Query
    $query sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
                
    mysql_real_escape_string($user),
                
    mysql_real_escape_string($password)); 
    مثلا این کد انگلیسی دونستن می خواست؟ یا چقد وقت می گیره؟ Sleepy

    اگه یکم حوصله بخرج بدی می بینی که با چیزه پیچیده ایی طرف نیستی! Cool
    ۱۳۸۸ آذر ۲۹ ۰۶:۰۳ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    ahora آفلاین
    کسی که از شکست نا امید نمیشه
    ****

    ارسال‌ها: 384
    تاریخ عضویت: ۱۳۸۷ دي ۹
    اعتبار: 4
    تشکرها : 130
    ( 54 تشکر در 41 ارسال )
    ارسال: #8
    RE: خطر اطلاعات از طریق $_GET
    امين جان من اينقدر هم گاگول نيستم اين رو خوندم ولي هر كاري كردم عملي نشد يا خوب مفهموم رو نفهميدم


    کد PHP:
    // Query
    $query sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
                
    mysql_real_escape_string($user),
                
    mysql_real_escape_string($password)); 

    کد PHP:
    '%s'  و mysql_real_escape_string($user),
                
    mysql_real_escape_string($password 


    با اون كدي كه من نمونه گذاشتم همخواني نداره اون يوزر و پسي كه گذاشته چي هستند؟ و اون %S متغير نيستند كه در ضمن تستش كردم ولي كار نكرد و هيچي نمايش نميده
    __________________________________________________________________________
    با تشکر ممل آمریکایی
    ۱۳۸۸ آذر ۲۹ ۰۷:۰۰ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط :
    admin آفلاین
    وحید سهرابلو
    **********

    ارسال‌ها: 5,697
    تاریخ عضویت: ۱۳۸۷ آذر ۲۴
    اعتبار: 100
    تشکرها : 1362
    ( 6197 تشکر در 3438 ارسال )
    ارسال: #9
    RE: خطر اطلاعات از طریق $_GET
    http://ir.php.net/sprintf
    Big Grin
    ۱۳۸۸ آذر ۲۹ ۰۷:۱۴ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : oia
    « قدیمی تر | تازه‌ تر »

    ارسال پاسخ
    پرش به انجمن:


    کاربرانِ درحال بازدید از این موضوع: 1 مهمان
    IranPHP.org | تماس با ما | بازگشت به بالا | بازگشت به محتوا | بایگانی | پیوند سایتی RSS