Форум Пользователи Пыхослёт
новые сообщения ответы на мои сообщения избранное скрытые темы случайный топик открыть всё в новых вкладках

ФорумПрограммированиеPHP для идиотов → Уязвимости и mysql инъекции

Уязвимости и mysql инъекции

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 21 марта 2009 г. 17:12, спустя 22 часа 11 минут 29 секунд

    А может ли быть угроза в название файла?
    Допустим в таком запросе.

    $id=(int)$_POST['id'];
    mysql_query("INSERT INTO images SET name='".basename($_FILES['myfile']['name'])."', id_page='{$id}' ");


    Нужно ли экранировать или там всеравно нельзя использовать некоторые симаолы.

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 марта 2009 г. 17:25, спустя 13 минут 10 секунд

    Professor, надеяться надо только на свой хуй и доверять только ему же, всему остальному надо недоверять и тогда у тебя будет сайт неуязвимый :)
    Сапожник без сапог

  • ubica

    Сообщения: 530 Репутация: N Группа: Кто попало

    Spritz 21 марта 2009 г. 18:52, спустя 1 час 27 минут 11 секунд


    Нужно ли экранировать или там всеравно нельзя использовать некоторые симаолы.


    экранируй все и всегда


    Professor, надеяться надо только на свой хуй и доверять только ему же, всему остальному надо недоверять и тогда у тебя будет сайт неуязвимый :)

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 марта 2009 г. 19:02, спустя 9 минут 51 секунду

    ubica, хули прячешьсо? пиздуй в ацку
    Сапожник без сапог

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 21 марта 2009 г. 19:02, спустя 8 секунд

    правда я сам прячусь)
    Сапожник без сапог

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 18:36, спустя 23 часа 34 минуты 24 секунды

    Как лучше организовать хранение паролей?
    А точней какой функцией лучше кодировать?

    md5 не подходит так как по ТЗ нужна функция востановления того же пароля.
    А для написания декодироания md5 я еще не дорос =)

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 22 марта 2009 г. 18:54, спустя 17 минут 56 секунд

    Professor, base64_encode + str_rot13 используй.
    Сапожник без сапог

  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 22 марта 2009 г. 20:34, спустя 1 час 39 минут 32 секунды

    а нах их кодировать?

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 20:35, спустя 1 минуту 13 секунд

    А если скамуниздят базу?

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 22 марта 2009 г. 20:45, спустя 10 минут 16 секунд

    Professor, то твоему паролю от пыхи пиздец
    Сапожник без сапог

  • Professor

    Сообщения: 2089 Репутация: N Группа: Адекваты

    Spritz 22 марта 2009 г. 20:48, спустя 2 минуты 11 секунд

    И будет кто нить тут под моим ником флудить и глупые вопросы задавать! =)

    Собственно ниче не изменится =)

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 22 марта 2009 г. 20:51, спустя 3 минуты 40 секунд

    Professor, вопросы задавать - не для флудеров, очнись! )
    Сапожник без сапог

  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 22 марта 2009 г. 21:02, спустя 10 минут 26 секунд


    А если скамуниздят базу?

    юзай мд5

  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 22 марта 2009 г. 21:04, спустя 2 минуты 10 секунд

    о
    md5(md5(md5($salt).$salt).sha1('password'))

  • Lirck

    Сообщения: 1658 Репутация: N Группа: Джедаи

    Spritz 22 марта 2009 г. 21:06, спустя 2 минуты 5 секунд

    шоб ваще ппц было
    md5(md5(base64_encode(md5($salt).$salt)).sha1($pass).sha1(md5(md5($salt).$salt).sha1(str_rot13($pass))))

Пожалуйста, авторизуйтесь, чтобы написать комментарий!

наше все Форум Пользователи Пыхослёт Slack Тикеты
социализация
(ц) пыха.ру / с 2007 года         Total: 0.024s         Часовой пояс — Europe/Moscow
ПИПИСЬКА