Как бороться с ошибкой ***?id='
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Как бороться с ошибкой ***?id=' - 2006-12-20 21:19:22.070000
|
|
|
ХAКEP
Сообщений: 97
Оценки: 0
Присоединился: 2005-06-19 20:44:27
|
Нужна заплатка, точнее примерный кусок кода, который исключает ошибку (***?id=') позволяющую хакеру узнать БД, Имя таблиц и т.д. К стати скрипт в котором ошибка отвечает за присвоение новостям номеров. Как с ней справиться. Очень нужно!!!
|
|
|
RE: Как бороться с ошибкой ***?id=' - 2006-12-20 21:58:10.276666
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
Если ты не знаешь, как эти ошибки исправить, зачем их выводить? Не показывай их, и никто ничего не узнает.
|
|
|
RE: Как бороться с ошибкой ***?id=' - 2006-12-20 22:00:19.120000
|
|
|
Param0n
Сообщений: 113
Оценки: 0
Присоединился: 2006-10-31 23:02:16.050000
|
=) фильтруй переменную id на кавычки ;) а лучше скачать PHP-Nuke или Joomla и глянь как это делают ПОФЕССИОНАЛЫ)) наученные горьким опытом долгих лет борьбы с SQL-иньекциями)) З.Ы. Борьться нужно не с ошибкой, а с тем что её вызывает ;)
|
|
|
RE: Как бороться с ошибкой ***?id=' - 2006-12-20 22:03:33.743333
|
|
|
ХAКEP
Сообщений: 97
Оценки: 0
Присоединился: 2005-06-19 20:44:27
|
quote:
=) фильтруй переменную id на кавычки ;) а лучше скачать PHP-Nuke или Joomla и глянь как это делают ПОФЕССИОНАЛЫ)) наученные горьким опытом долгих лет борьбы с SQL-иньекциями)) З.Ы. Борьться нужно не с ошибкой, а с тем что её вызывает ;) Точно… у меня кажется гдето лежит парочка CMS'ок. Ща гляну…
|
|
|
RE: Как бороться с ошибкой ***?id=' - 2006-12-20 22:06:57.070000
|
|
|
AdReNaL1Ne
Сообщений: 8027
Оценки: 350
Присоединился: 2005-09-11 06:38:05
|
Приводить числовые переменные к числовому типу $id = intval($id); Строковые обрабатывать ф-ей addslashes()
|
|
|
RE: Как бороться с ошибкой ***?id=' - 2006-12-21 00:35:48.540000
|
|
|
Helios
Сообщений: 48
Оценки: 0
Присоединился: 2005-06-16 20:10:53
|
В Joomla 1.5.0 есть классный класс JRequest. Заюзай его и все будет отлично. З.Ы. Лежит он там /libraries/joomla/environment/request.php
|
|
|
RE: Как бороться с ошибкой ***?id=' - 2006-12-21 09:41:32.040000
|
|
|
Net_FOX
Сообщений: 126
Оценки: 0
Присоединился: 2005-01-24 16:25:37
|
А если переменной должно передаватся не только число но к примеру и текст… я для этой цели маленький кодик написал: quote:
function var_chek($var,$col){ $var = substr($var, 0, $col); $var = preg_replace("/[^\w\x7F-\xFF\s]/", " ", $var); $good = ereg_replace(" +", " ", $var); $good = strip_tags($good); return $good; } $id = var_chek($id,4); //Теперь в переменную $ID не включить ни один левый запрос =) Этот код удаляет все спец символы и отрезает по длинне…
|
|
|
RE: Как бороться с ошибкой ***?id=' - 2006-12-21 17:17:33.603333
|
|
|
ХAКEP
Сообщений: 97
Оценки: 0
Присоединился: 2005-06-19 20:44:27
|
Всё пашет: quote:
А если переменной должно передаватся не только число но к примеру и текст… я для этой цели маленький кодик написал: [blockquote]quote: function var_chek($var,$col){ $var = substr($var, 0, $col); $var = preg_replace("/[^\w\x7F-\xFF\s]/", " ", $var); $good = ereg_replace(" +", " ", $var); $good = strip_tags($good); return $good; } $id = var_chek($id,4); //Теперь в переменную $ID не включить ни один левый запрос =) [/blockquote] Этот код удаляет все спец символы и отрезает по длинне… Всем огромное СПАСИБО!!!:D
|
|
|
RE: Как бороться с ошибкой ***?id=' - 2006-12-24 12:30:32.806666
|
|
|
PHPprofi
Сообщений: 23
Оценки: 0
Присоединился: 2006-11-22 20:25:30.653333
|
В настройках сервера редактируешь строку ******************************************** * Настройки сервера: * session.use_trans_sid = off * session.auto_start = off * восстанавливает сессии только если у пользователя включены COOKIE ******************************************** Если нет у тебя возможности чтобы изменить эти значения в сервере, то меняй их запросом INI_SET()
|
|
|
RE: Как бороться с ошибкой ***?id=' - 2006-12-28 13:38:05.846666
|
|
|
Unlockmenow
Сообщений: 24
Оценки: 0
Присоединился: 2006-08-27 02:54:41
|
(int)($id) if (mysql_num_rows($sql)>0) {…} else echo "no rows";
|
|
|
|
|