Wyszukiwarka zaawansowana
Forum   Dobre praktyki i wzorce   Architektura   SQL injection ?
 zwiń kolumnę

Tagi na forum.

C# 1456 XML 282
SQL 1192 sieci 268
ASP.NET 785 IIS 262
Windows 726 C++ 255
web 608 Html 218
Visual Studio 515 Information Technology 193
SQL Server 425 MSDN 167

pokaż wszystkie tagi na forum

 Tagi
 rozwiń  Poradnia  Twoje linki  Tagi  Ważne linki

SQL injection ?

borrus 2010-07-08 11:01:37
0
avatar
 
 



[Kod]
<?php

$query =
"SELECT usrid ID, decode(usrpass,'".STDPASSWD."','1','0')STDPASS ".
"FROM appuser ".
"WHERE ".
"upper(usrlogin)=upper(:login) AND ".
"usrpass=:pass";

$parms = array(
':login'=>tiny_mce_markerREQUEST['uLogin'],
':pass' =>tiny_mce_markerREQUEST['uPass']
);

try{
if($ORCL->Bind($query,$parms)===false)throw new Exception('cannot bind');
if($ORCL->QueryBinded($res)===false)throw new Exception('cannot get data');
if(sizeof($res)==0)throw new Exception ('Niepoprawny login lub hasło');

echo"<script>STER.userID=".$res[0]['ID'].";</script>";
if($res[0]['STDPASS']=='1'){
echo "<script>getModuleDetail('LOGIN','panelData',{chPass:1});</script>";
}else{
echo "<script>WIN.clearContent();onLoadBody();</script>";
}

}catch(Exception $e){
echo '<b>'.$e->getMessage().'</b><br/>'.$ORCL->LastErrorMsg();
}

?>





Edytowano 7 razy. Ostatnio 2010-07-08 11:12:22 przez borrus.
Zgłoś nadużycie


borrus  2010-07-08 11:19:57 #1
0
avatar
 
 
Witam może mi pomożecie, czy jest możliwosc wykonania ataku SQl injection odnośnie tego zapytania, jeśli tak to w jaki sposób i jak poźniej to zabezpieczyć?

Zgłoś nadużycie
szogun.krepa  2010-07-08 11:33:47 #1.1
0
avatar
 
 
To zależy od tego czy metoda $ORCL->Bind($query,$parms) poprawnie wymienia parametry na ich wartości jeżeli $ORCL jest instancją klasy dostarczanej przez Oracla to możesz uznać że twój kod jest odporny na SQL Injection.

if (PomoglCi)

{

Click("Pomógł mi");

}

Strona szoguna

Zgłoś nadużycie

Udziel odpowiedzi

avatar
Treść wpisu:

Zaloguj się lub Zarejestruj się aby wykonać tę czynność.

Idź na górę strony