PDA

View Full Version : آيا اين باگ هستش ؟


king-net
جمعه 02 اردیبهشت 1390, 17:04 عصر
ADODB.Stream error '800a0bba'
File could not be opened.
/leaguecomshow.do, line 19
رضا قربانی
جمعه 02 اردیبهشت 1390, 22:53 عصر
داداش توضیحات بیشتر می دی تا ببینیم هست یا نیست

واسه کجاست ؟ از کجا آوردیش ؟ چطوری بدست اومد ؟ و... ؟
binyaft
شنبه 03 اردیبهشت 1390, 09:00 صبح
فایل رو نمیتونه باز کنه ، اگر ادرس فایل رو از کاربر نمیگیره ، فکر نکنم خطری داشته باشه
king-net
شنبه 03 اردیبهشت 1390, 11:19 صبح
من يك ' تو يو آر ال گذاشتم اين ارور رو داد با هويج هم تست كردم اطلاعاتي نداد
binyaft
شنبه 03 اردیبهشت 1390, 12:59 عصر
این فکر کنم با دات نت نوشته شده ، تو بخش مربوطه سوالتو بزنی جواب های بهتری میگیری
رضا قربانی
شنبه 03 اردیبهشت 1390, 20:04 عصر
من يك ' تو يو آر ال گذاشتم اين ارور رو داد با هويج هم تست كردم اطلاعاتي نداد

اگه تک کدیشن گذاشتی و ارور داد حتما بدون اینجکشن داره
king-net
یک شنبه 04 اردیبهشت 1390, 00:08 صبح
بخوام تستش كنم ببينم كه آيا از اين ميشه به پايگاه داده دسترسي پيدا كرد يا نه ؟ بعد از ' چي بزارم؟؟؟
رضا قربانی
یک شنبه 04 اردیبهشت 1390, 16:26 عصر
بخوام تستش كنم ببينم كه آيا از اين ميشه به پايگاه داده دسترسي پيدا كرد يا نه ؟ بعد از ' چي بزارم؟؟؟
ببین داداش من
برای اینجکشن ها مثال های زیادی هست و خیلی هم شیرینه و امروزه بیشتر سایت ها از این روش جلوگیری می کنند.

این تک کدیشنی که شما گذاشتید یک جای کد نویسی رو نبستین یا یک تک کدیشن کم گذاشتین و خلاصه این مربوط به بی دقتی شما می شه ، کافیه یک تابع ارور در اول فایلتون قرار بدید تا مشکلاتتون رو بهتون گزارش کنه و سپس بررسی کنید.

ببین در اینجا من یک مثال می زنم که از طریق اینجکشن آدرس میاد و جدول reza شما رو پاک می کنه

www.abc.com/test.php?id=0;DELETE20%FROM20%reza (http://www.abc.com/test.php?id=0;DELETE20%FROM20%reza)

همیشه این رو در نظر داشته باش که متغیر هایی که int هستند رو داخل تک کدیشن ' بگذاری


اگر از mysql_escape_string() هم استفاده کنی بازم در خطر اینجکشن ها هستید ولی اگر همراه با تک کدیشن استفاده کنی از هر گونه راه های نفوذ اینجکشن جلوگیری خواهی کرد !!! :چشمک:

و مثال های دیگر ..................................