View Full Version : آيا اين باگ هستش ؟
king-net
جمعه 02 اردیبهشت 1390, 18:04 عصر
ADODB.Stream error '800a0bba'
File could not be opened.
/leaguecomshow.do, line 19
رضا قربانی
جمعه 02 اردیبهشت 1390, 23:53 عصر
داداش توضیحات بیشتر می دی تا ببینیم هست یا نیست
واسه کجاست ؟ از کجا آوردیش ؟ چطوری بدست اومد ؟ و... ؟
binyaft
شنبه 03 اردیبهشت 1390, 10:00 صبح
فایل رو نمیتونه باز کنه ، اگر ادرس فایل رو از کاربر نمیگیره ، فکر نکنم خطری داشته باشه
king-net
شنبه 03 اردیبهشت 1390, 12:19 عصر
من يك ' تو يو آر ال گذاشتم اين ارور رو داد با هويج هم تست كردم اطلاعاتي نداد
binyaft
شنبه 03 اردیبهشت 1390, 13:59 عصر
این فکر کنم با دات نت نوشته شده ، تو بخش مربوطه سوالتو بزنی جواب های بهتری میگیری
رضا قربانی
شنبه 03 اردیبهشت 1390, 21:04 عصر
من يك ' تو يو آر ال گذاشتم اين ارور رو داد با هويج هم تست كردم اطلاعاتي نداد
اگه تک کدیشن گذاشتی و ارور داد حتما بدون اینجکشن داره
king-net
یک شنبه 04 اردیبهشت 1390, 01:08 صبح
بخوام تستش كنم ببينم كه آيا از اين ميشه به پايگاه داده دسترسي پيدا كرد يا نه ؟ بعد از ' چي بزارم؟؟؟
رضا قربانی
یک شنبه 04 اردیبهشت 1390, 17:26 عصر
بخوام تستش كنم ببينم كه آيا از اين ميشه به پايگاه داده دسترسي پيدا كرد يا نه ؟ بعد از ' چي بزارم؟؟؟
ببین داداش من
برای اینجکشن ها مثال های زیادی هست و خیلی هم شیرینه و امروزه بیشتر سایت ها از این روش جلوگیری می کنند.
این تک کدیشنی که شما گذاشتید یک جای کد نویسی رو نبستین یا یک تک کدیشن کم گذاشتین و خلاصه این مربوط به بی دقتی شما می شه ، کافیه یک تابع ارور در اول فایلتون قرار بدید تا مشکلاتتون رو بهتون گزارش کنه و سپس بررسی کنید.
ببین در اینجا من یک مثال می زنم که از طریق اینجکشن آدرس میاد و جدول reza شما رو پاک می کنه
www.abc.com/test.php?id=0;DELETE20%FROM20%reza (http://www.abc.com/test.php?id=0;DELETE20%FROM20%reza)
همیشه این رو در نظر داشته باش که متغیر هایی که int هستند رو داخل تک کدیشن ' بگذاری
اگر از mysql_escape_string() هم استفاده کنی بازم در خطر اینجکشن ها هستید ولی اگر همراه با تک کدیشن استفاده کنی از هر گونه راه های نفوذ اینجکشن جلوگیری خواهی کرد !!! :چشمک:
و مثال های دیگر ..................................
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.