Risultati da 1 a 10 di 25

Visualizzazione Ibrida

Messaggio precedente Messaggio precedente   Nuovo messaggio Nuovo messaggio
  1. 14/01/2007, 15:26 #1
    C.R.
    C.R. è offline
    Uragano L'avatar di C.R.
    Data Registrazione
    12/02/04
    Località
    Rm Tib o N.Salario
    Età
    52
    Messaggi
    20,878
    Menzionato
    0 Post(s)

    SK sk informatico : sql injection

    C' è qualcuno che possa fornirmi un efficace script per impedire che in un
    form possano essere digitati caratteri speciali di query SQL ?
    (* ' " ) Grazie!
    ovviamente, lato server e non Javascript!
    Cl.
    "S'è la notizia fossi confermata sarò zio."
    Rispondi Citando Rispondi Citando
  2. 14/01/2007, 15:27 #2
    NoSync
    NoSync è offline
    Uragano
    Data Registrazione
    12/06/02
    Località
    Tbilisi, Georgia
    Messaggi
    16,621
    Menzionato
    38 Post(s)

    Predefinito Re: sk informatico : sql injection

    http://www.phpbuilder.com/columns/Pr...y_excerpt.php3

    Rispondi Citando Rispondi Citando
  3. 14/01/2007, 15:40 #3
    C.R.
    C.R. è offline
    Uragano L'avatar di C.R.
    Data Registrazione
    12/02/04
    Località
    Rm Tib o N.Salario
    Età
    52
    Messaggi
    20,878
    Menzionato
    0 Post(s)

    Predefinito Re: sk informatico : sql injection

    Grazie Alessio !



    Cl.
    "S'è la notizia fossi confermata sarò zio."
    Rispondi Citando Rispondi Citando
  4. 15/01/2007, 14:10 #4
    Luca D'inverno
    Luca D'inverno è offline
    Bava di vento L'avatar di Luca D'inverno
    Data Registrazione
    22/11/04
    Località
    Parma, provincia
    Età
    53
    Messaggi
    193
    Menzionato
    0 Post(s)

    Predefinito Re: sk informatico : sql injection

    in Vb processo la stringa e sostituisco i caratteri speciali prima di passarli al SQL. Ad esempio il classico ' sostituito con ´
    Rispondi Citando Rispondi Citando
  5. 15/01/2007, 14:19 #5
    C.R.
    C.R. è offline
    Uragano L'avatar di C.R.
    Data Registrazione
    12/02/04
    Località
    Rm Tib o N.Salario
    Età
    52
    Messaggi
    20,878
    Menzionato
    0 Post(s)

    Predefinito Re: sk informatico : sql injection

    Citazione Originariamente Scritto da Luca D'inverno Visualizza Messaggio
    in Vb processo la stringa e sostituisco i caratteri speciali prima di passarli al SQL. Ad esempio il classico ' sostituito con ´
    non uso Vb ma Php....

    si , vorrei trovare Qulcs che sostituisca i caratteri speciali con degli spazi. O
    vieti parole tipo "SELECT" o "FROM"...


    Cl.
    "S'è la notizia fossi confermata sarò zio."
    Rispondi Citando Rispondi Citando
  6. 15/01/2007, 15:35 #6
    kabodie
    kabodie è offline
    Bava di vento L'avatar di kabodie
    Data Registrazione
    07/03/04
    Località
    Crema Ovest
    Età
    42
    Messaggi
    190
    Menzionato
    0 Post(s)
    Invia un messaggio via AIM a kabodie Invia un messaggio via Yahoo a kabodie

    Predefinito Re: sk informatico : sql injection

    Se guardi come costruisce il codice dreamweaver...
    Quel modo dovrebbe essere piuttosto sicuro
    L'unica persona a cui mi sento superiore è me stesso del giorno precedente.

    ~always looking at the sky
    Rispondi Citando Rispondi Citando
  7. 15/01/2007, 15:36 #7
    C.R.
    C.R. è offline
    Uragano L'avatar di C.R.
    Data Registrazione
    12/02/04
    Località
    Rm Tib o N.Salario
    Età
    52
    Messaggi
    20,878
    Menzionato
    0 Post(s)

    Predefinito Re: sk informatico : sql injection

    Citazione Originariamente Scritto da kabodie Visualizza Messaggio
    Se guardi come costruisce il codice dreamweaver...
    Quel modo dovrebbe essere piuttosto sicuro

    Cioè Cioè....dimmi ti PREGO, che così mi risparmi un lavoro INFERNALE...

    io l'ho visto...non mi sembra prenda così tante preccauzioni...
    DOVE vieta i caratteri speciali ? (il form che ho fatto l'ho fatto propprio con
    DW!)

    Cl.
    "S'è la notizia fossi confermata sarò zio."
    Rispondi Citando Rispondi Citando
  8. 15/01/2007, 15:42 #8
    kabodie
    kabodie è offline
    Bava di vento L'avatar di kabodie
    Data Registrazione
    07/03/04
    Località
    Crema Ovest
    Età
    42
    Messaggi
    190
    Menzionato
    0 Post(s)
    Invia un messaggio via AIM a kabodie Invia un messaggio via Yahoo a kabodie

    Predefinito Re: sk informatico : sql injection

    $pid_filespartita = "-1";
    if (isset($_SESSION['nome_utente'])) {
    $pid_filespartita = (get_magic_quotes_gpc()) ? $_SESSION['nome_utente'] : addslashes($_SESSION['nome_utente']);
    }
    mysql_select_db($database_gmonline, $gmonline);
    $query_filespartita = sprintf("SELECT files.nome_file, files.stato, files.tipo_file,DATE_FORMAT(files.data_upload ,'%%d-%%m-%%Y %%T') AS data_upload, utenti.nome_utente,files.num_marche FROM files, utenti WHERE id_utenti=eid_utenti and (files.stato='NI' OR files.stato='PK' ) and files.tipo_file='PA' and utenti.nome_utente='%s' ORDER BY files.id_file", $pid_filespartita);
    $filespartita = mysql_query($query_filespartita, $gmonline) or die(mysql_error());
    $row_filespartita = mysql_fetch_assoc($filespartita);
    $totalRows_filespartita = mysql_num_rows($filespartita);
    guardando le prime 5 righe, non vieta certe parole, perchè potrebbero essere utili, metti che uno di cognome si chiama select, oppure from
    ma non permette di usarle per scopi illegittimi
    L'unica persona a cui mi sento superiore è me stesso del giorno precedente.

    ~always looking at the sky
    Rispondi Citando Rispondi Citando
« Sealand | 18z, tutte qua! »

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  

Regole del Forum