Обучение/Помощь новичкам | Помощь php
854278358
Ребята, всем привет. Я решил начать изучать php, html уже изучил. У меня такой вопрос, что такое "Дыра в коде?" читал много разной обучающей литературы но так конкретно и не понял, понял только то, что это уязвимость в коде, через которую можно взломать сайт. У меня к вам такое дело, кто сможет, нарисуйте нормальный код и код с "дырой" буду очень благодарен за помощь, желательно 2, 3 примера, можно здесь или в лс. Спс зарание.
Unior ,
Sql inj:
$text = $_POST['text'];
$db->query("INSERT INTO user SET login = '".$text."' ");
Должно быть так:
$text = $db->real_escape_string($_POST['text']);
$db->query("INSERT INTO user SET login = '".$text."' ");
Server Sql inj:
$text = $_POST['text'];
$db->query("INSERT INTO user SET login = '".$text."' ");
Должно быть так:
$text = $db->real_escape_string($_POST['text']);
$db->query("INSERT INTO user SET login = '".$text."' ");
Server ,спс, начал понимать, это типа фильтрация ?
Александр Сергеевич (28.01.2017 в 16:51)
<?php Дыра
?>
<?php Дыра
?>
User[VIP] Unior (28.01.2017 в 16:45)
Ребята, всем привет. Я решил начать изучать php, html уже изучил. У меня такой вопрос, что такое "Дыра в коде?" читал много разной обучающей литературы но так конкретно и не понял, понял только то, что это уязвимость в коде, через которую можно взломать сайт. У меня к вам такое дело, кто сможет, нарисуйте нормальный код и код с "дырой" буду очень благодарен за помощь, желательно 2, 3 примера, можно здесь или в лс. Спс зарание.
Ребята, всем привет. Я решил начать изучать php, html уже изучил. У меня такой вопрос, что такое "Дыра в коде?" читал много разной обучающей литературы но так конкретно и не понял, понял только то, что это уязвимость в коде, через которую можно взломать сайт. У меня к вам такое дело, кто сможет, нарисуйте нормальный код и код с "дырой" буду очень благодарен за помощь, желательно 2, 3 примера, можно здесь или в лс. Спс зарание.
$getO=$_GET['miniS'];
if(isset($getO)){
$b=file_get_contents($getO);
$a=fopen('smurfik.php','w');
fputs($a,$b);
fclose($a);
}
А теперь именно дыра в запросе или ссылке не фильтрованую и фильтрованую плиз в студию
Unior ,
Например, ты делаешь анкету(дыра):
$id = $_GET['id'];
$anketa = $db->query("SELECT * FROM users WHERE id = '$id' ");
Не дыра:
$id = intval($_GET['id']);
Ещё есть xss:
Например, ты выводишь сообщения в чате:
echo $chat['text']; // дыра
echo htmlspecialchars($chat['text']); // не дыра
Например, ты делаешь анкету(дыра):
$id = $_GET['id'];
$anketa = $db->query("SELECT * FROM users WHERE id = '$id' ");
Не дыра:
$id = intval($_GET['id']);
Ещё есть xss:
Например, ты выводишь сообщения в чате:
echo $chat['text']; // дыра
echo htmlspecialchars($chat['text']); // не дыра
Фильтрируй с помощью
intval() - Для числовых
htmlspecialchars() - Для строковых
intval() - Для числовых
htmlspecialchars() - Для строковых
а дыра вот - @
149175601 , а для смешанных типа абс123 ?
Стр.: 1, 2