saeidejafari
یک شنبه 18 فروردین 1387, 12:25 عصر
من می خوام یه تابع بنویسم که url سایت رو گرفته و متغیر هایی که توسط متد get فرستاده شده اند را چک کند تا کسی نتونه سایت رو از این طریق هک کنه یعنی تمام متغیرها با تمام مقداراشون.
یه متغیر id دارم که فقط می تونه عدد باشه . تو این تابع چک کردم که اگر مقدار id چیزی به غیر از عدد بود error بده اگه عدد بدم که مشکلی نداره و برنامه اجرا می شه ولی وقتی تو نوار آدرس مقدار اشتباه بهش می دم این پیغام خطا رو میده :
Unknown column 'e3' in 'where clause'
برای بقیه متغیر ها این مشکل رو نداشت ولی به id که می رسه اصلا به اون تابع نمی رسه که چک کنه :عصبانی:
یه مشکل دیگه هم که داره اینه که من توی این تابع چک می کنم که اگه توی url یکی از این حروف بود error بده :
' " * / >
ولی اگه به متغیر id مثلا مقدار ' بدم این خطا رو میده
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1
فکر کنم که قبل از اینکه این تابع اجرا بشه یا بهتر بگم برنامه اجرا بشه url به دیتا بیس فرستاده می شه و وقتی می خواد که اونو اجرا کنه این پیغام ها رو میده
اگه کسی می دونه مشکل چیه به من کمک کنه
یه متغیر id دارم که فقط می تونه عدد باشه . تو این تابع چک کردم که اگر مقدار id چیزی به غیر از عدد بود error بده اگه عدد بدم که مشکلی نداره و برنامه اجرا می شه ولی وقتی تو نوار آدرس مقدار اشتباه بهش می دم این پیغام خطا رو میده :
Unknown column 'e3' in 'where clause'
برای بقیه متغیر ها این مشکل رو نداشت ولی به id که می رسه اصلا به اون تابع نمی رسه که چک کنه :عصبانی:
یه مشکل دیگه هم که داره اینه که من توی این تابع چک می کنم که اگه توی url یکی از این حروف بود error بده :
' " * / >
ولی اگه به متغیر id مثلا مقدار ' بدم این خطا رو میده
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1
فکر کنم که قبل از اینکه این تابع اجرا بشه یا بهتر بگم برنامه اجرا بشه url به دیتا بیس فرستاده می شه و وقتی می خواد که اونو اجرا کنه این پیغام ها رو میده
اگه کسی می دونه مشکل چیه به من کمک کنه