Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

Как бороться с ошибкой ***?id='

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Веб-программинг] >> Как бороться с ошибкой ***?id='
Имя
Сообщение << Старые топики   Новые топики >>
Как бороться с ошибкой ***?id=' - 2006-12-20 21:19:22.070000   
ХAКEP

Сообщений: 97
Оценки: 0
Присоединился: 2005-06-19 20:44:27
 Нужна заплатка, точнее примерный кусок кода, который исключает ошибку (***?id=') позволяющую хакеру узнать БД, Имя таблиц и т.д. К стати скрипт в котором ошибка отвечает за присвоение новостям номеров. Как с ней справиться. Очень нужно!!! 
Post #: 1
RE: Как бороться с ошибкой ***?id=' - 2006-12-20 21:58:10.276666   
Lex_Voodoo

Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
 Если ты не знаешь, как эти ошибки исправить, зачем их выводить? Не показывай их, и никто ничего не узнает.
Post #: 2
RE: Как бороться с ошибкой ***?id=' - 2006-12-20 22:00:19.120000   
Param0n

Сообщений: 113
Оценки: 0
Присоединился: 2006-10-31 23:02:16.050000
 =) фильтруй переменную id на кавычки ;) а лучше скачать PHP-Nuke или Joomla и глянь как это делают ПОФЕССИОНАЛЫ)) наученные горьким опытом долгих лет борьбы с SQL-иньекциями))

З.Ы. Борьться нужно не с ошибкой, а с тем что её вызывает ;)
Post #: 3
RE: Как бороться с ошибкой ***?id=' - 2006-12-20 22:03:33.743333   
ХAКEP

Сообщений: 97
Оценки: 0
Присоединился: 2005-06-19 20:44:27
quote:

=) фильтруй переменную id на кавычки ;) а лучше скачать PHP-Nuke или Joomla и глянь как это делают ПОФЕССИОНАЛЫ)) наученные горьким опытом долгих лет борьбы с SQL-иньекциями))

З.Ы. Борьться нужно не с ошибкой, а с тем что её вызывает ;)


Точно… у меня кажется гдето лежит парочка CMS'ок. Ща гляну…
Post #: 4
RE: Как бороться с ошибкой ***?id=' - 2006-12-20 22:06:57.070000   
AdReNaL1Ne

Сообщений: 8027
Оценки: 350
Присоединился: 2005-09-11 06:38:05
 Приводить числовые переменные к числовому типу $id = intval($id); Строковые обрабатывать ф-ей addslashes()
Post #: 5
RE: Как бороться с ошибкой ***?id=' - 2006-12-21 00:35:48.540000   
Helios

Сообщений: 48
Оценки: 0
Присоединился: 2005-06-16 20:10:53
 В Joomla 1.5.0 есть классный класс JRequest. Заюзай его и все будет отлично.
 
З.Ы. Лежит он там /libraries/joomla/environment/request.php
Post #: 6
RE: Как бороться с ошибкой ***?id=' - 2006-12-21 09:41:32.040000   
Net_FOX

Сообщений: 126
Оценки: 0
Присоединился: 2005-01-24 16:25:37
 А если переменной должно передаватся не только число но к примеру и текст…
я для этой цели маленький кодик написал:
quote:


function var_chek($var,$col){
&nbsp;&nbsp;&nbsp; $var&nbsp;&nbsp;&nbsp; =&nbsp;&nbsp;&nbsp; substr($var, 0, $col);
&nbsp;&nbsp;&nbsp; $var&nbsp;&nbsp;&nbsp; =&nbsp;&nbsp;&nbsp; preg_replace("/[^\w\x7F-\xFF\s]/", " ", $var);
&nbsp;&nbsp;&nbsp; $good&nbsp;&nbsp;&nbsp; =&nbsp;&nbsp;&nbsp; ereg_replace(" +", " ", $var);
&nbsp;&nbsp;&nbsp; $good&nbsp;&nbsp;&nbsp; =&nbsp;&nbsp;&nbsp; strip_tags($good);
&nbsp;&nbsp;&nbsp; return $good;
}

$id = var_chek($id,4); //Теперь в переменную $ID не включить ни один левый запрос =)

Этот код удаляет все спец символы и отрезает по длинне…
Post #: 7
RE: Как бороться с ошибкой ***?id=' - 2006-12-21 17:17:33.603333   
ХAКEP

Сообщений: 97
Оценки: 0
Присоединился: 2005-06-19 20:44:27
 Всё пашет:
quote:

&nbsp;&nbsp;
А если переменной должно передаватся не только число но к примеру и текст…
я для этой цели маленький кодик написал:

[blockquote]quote:


function var_chek($var,$col){
&nbsp;&nbsp;&nbsp; $var&nbsp;&nbsp;&nbsp; =&nbsp;&nbsp;&nbsp; substr($var, 0, $col);
&nbsp;&nbsp;&nbsp; $var&nbsp;&nbsp;&nbsp; =&nbsp;&nbsp;&nbsp; preg_replace("/[^\w\x7F-\xFF\s]/", " ", $var);
&nbsp;&nbsp;&nbsp; $good&nbsp;&nbsp;&nbsp; =&nbsp;&nbsp;&nbsp; ereg_replace(" +", " ", $var);
&nbsp;&nbsp;&nbsp; $good&nbsp;&nbsp;&nbsp; =&nbsp;&nbsp;&nbsp; strip_tags($good);
&nbsp;&nbsp;&nbsp; return $good;
}

$id = var_chek($id,4); //Теперь в переменную $ID не включить ни один левый запрос =)
[/blockquote]

Этот код удаляет все спец символы и отрезает по длинне…

Всем огромное СПАСИБО!!!:D
Post #: 8
RE: Как бороться с ошибкой ***?id=' - 2006-12-24 12:30:32.806666   
PHPprofi

Сообщений: 23
Оценки: 0
Присоединился: 2006-11-22 20:25:30.653333
 В настройках сервера редактируешь строку

********************************************
* Настройки сервера:
* session.use_trans_sid = off
* session.auto_start = off
* восстанавливает сессии только если у пользователя включены COOKIE
********************************************

Если нет у тебя возможности чтобы изменить эти значения в сервере, то меняй их запросом INI_SET()
Post #: 9
RE: Как бороться с ошибкой ***?id=' - 2006-12-28 13:38:05.846666   
Unlockmenow

Сообщений: 24
Оценки: 0
Присоединился: 2006-08-27 02:54:41
 (int)($id)
if (mysql_num_rows($sql)>0) {…} else echo "no rows";
Post #: 10
Страниц:  [1]
Все форумы >> [Веб-программинг] >> Как бороться с ошибкой ***?id='







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.