Zaloguj się by uzyskać pełen dostęp. Nie masz jeszcze konta? Założ je już teraz w kilka sekund.

Wysłany: 2017-02-12, 22:38


.RiV






Wiek: 25
Na forum: 3588 dni
Posty: 554
Nick w MP: Split
Piwa: 2596

Respekt: 597,8
Respekt: 597,8
Cze??.

Mam pewne pytanie, ot?? czy kto? zna spos?b jak mo?na si? zabezpieczy? przed SQL Injection? S?ysza?em o takiej jednej funkcji ale nie wiem czy ona pomaga si? zabezpieczy? przed tym atakiem


Więcej informacji znajdziesz w Wikipedii MTA:

dbPrepareString


Prosz? o odpowied? osoby kt?re maj? dobr? wiedz? na temat owego zabezpieczenia i pomog? mi z tym problemem.

Ka?d? odpowied? kt?ra b?dzie sensowna i pomocna nagrodz? punktami reputacji oraz piwkami.
Podpis

Autor OGRPG, na scenie MTA od 2012 roku.




Użytkownik: 08.08.2016
GTAO Member: 06.02.2017
Support-Team: 17.06.2017 & 01.06.2019 - 18.11.2019
Moderator: 14.01.2018 - 09.08.2018
Postaw piwo autorowi tego posta
 

 
Wysłany: 2017-02-12, 23:54


Dexnes_
Tiger






Wiek: 26
Na forum: 4401 dni
Posty: 620
Nick w MP: Dexnes
Piwa: 1394

Respekt: 390
Respekt: 390Respekt: 390Respekt: 390Respekt: 390
.WhiteBlue, Nigdy nie korzysta?em z tej funkcji ale sprawdzi?em troch? na internecie i na Wikipedii. Na wiki jest napisane, ?e w pewnym sensie zapobiega ona SQL Injection . Robisz to na zasadzie zmiennej, u?ywaj?c dbPrepareStringServer a nast?pnie dbQuery (Tak jak na przyk?adzie). Nie jestem pewny ale my?l?, ?e powinno to pomoc .
Postaw piwo autorowi tego posta
 

 
Więcej szczegółów
 Wystawiono 1 piw(a):
.RiV
Wysłany: 2017-02-13, 00:52


.RiV






Wiek: 25
Na forum: 3588 dni
Posty: 554
Nick w MP: Split
Piwa: 2596

Respekt: 597,8
Respekt: 597,8
"BlackGamePL" napisał/a:

.WhiteBlue, Nigdy nie korzysta?em z tej funkcji ale sprawdzi?em troch? na internecie i na Wikipedii. Na wiki jest napisane, ?e w pewnym sensie zapobiega ona SQL Injection . Robisz to na zasadzie zmiennej, u?ywaj?c dbPrepareStringServer a nast?pnie dbQuery (Tak jak na przyk?adzie). Nie jestem pewny ale my?l?, ?e powinno to pomoc .


Dzi?kuj? za pomoc. Ma kto? jeszcze jakie? pomys?y kt?re pomog? zabezpieczy? si? przed owym atakiem?
Podpis

Autor OGRPG, na scenie MTA od 2012 roku.




Użytkownik: 08.08.2016
GTAO Member: 06.02.2017
Support-Team: 17.06.2017 & 01.06.2019 - 18.11.2019
Moderator: 14.01.2018 - 09.08.2018
Postaw piwo autorowi tego posta
 

 
Wysłany: 2017-02-13, 10:12


_Haze
Peace Yo!






Wiek: 24
Na forum: 4184 dni
Posty: 1648
Nick w MP: Haze
Piwa: 2628

Respekt: 1020
Respekt: 1020
.WhiteBlue, hmm sql injection pojawia si? jak masz b??d w syntaxie(albo jest nielogiczny). Czyli np. 
SELECT FROM Users WHERE UserId 105 or 1=1;
. Sql injection jest nie logiczne, czyli jak b?dziesz robi? wszystko wed?ug syntaxu, i nie b?dziesz si? myli? nie ma prawa si? zdarzy?. Z tego co wiem czasem mo?e si? zdarzy? jak dajemy zmienne lua do stringu zamiast string.format. Przyk?ad z mojego skryptu kiedy nie wiedzia?em ?e mo?e to spowodowa?: 
resultlast_id exports.of_core:zapytanieID("INSERT INTO `pojazdy` (`veh`, `x`, `y`, `z`, `rx`, `ry`, `rz`, `r`, `g`, `b`, `owner`, `tuning`, `paliwo`, `przebieg`, `ts`,  `zh`, `przecho`) VALUES ('"..id.."', '"..x.."', '"..y.."', '"..z.."', '"..rx.."', '"..ry.."', '"..rz.."', '"..r.."', '"..g.."', '"..b.."', '"..getPlayerName(owner).."', '"..toJSON(tuning).."', '50', '0', 'brak', 'brak', 'false')")
Nie polecam czego? takiego robi? tylko string.format poniewa? te? mo?e powsta? sql injection. Do tego funkcja kt?r? poda?e?
Więcej informacji znajdziesz w Wikipedii MTA:

dbPrepareString
pomaga zapobiec sql injection i jest bezpieczniejsza od dbQuery(poza tym niczym si? nie r??ni? )
Postaw piwo autorowi tego posta
 

 
Więcej szczegółów
 Wystawiono 1 piw(a):
.RiV
Wysłany: 2017-02-13, 16:20


.RiV






Wiek: 25
Na forum: 3588 dni
Posty: 554
Nick w MP: Split
Piwa: 2596

Respekt: 597,8
Respekt: 597,8
"HazeMaFaze" napisał/a:

.WhiteBlue, hmm sql injection pojawia si? jak masz b??d w syntaxie(albo jest nielogiczny). Czyli np. 
SELECT FROM Users WHERE UserId 105 or 1=1;
. Sql injection jest nie logiczne, czyli jak b?dziesz robi? wszystko wed?ug syntaxu, i nie b?dziesz si? myli? nie ma prawa si? zdarzy?. Z tego co wiem czasem mo?e si? zdarzy? jak dajemy zmienne lua do stringu zamiast string.format. Przyk?ad z mojego skryptu kiedy nie wiedzia?em ?e mo?e to spowodowa?: 
resultlast_id exports.of_core:zapytanieID("INSERT INTO `pojazdy` (`veh`, `x`, `y`, `z`, `rx`, `ry`, `rz`, `r`, `g`, `b`, `owner`, `tuning`, `paliwo`, `przebieg`, `ts`,  `zh`, `przecho`) VALUES ('"..id.."', '"..x.."', '"..y.."', '"..z.."', '"..rx.."', '"..ry.."', '"..rz.."', '"..r.."', '"..g.."', '"..b.."', '"..getPlayerName(owner).."', '"..toJSON(tuning).."', '50', '0', 'brak', 'brak', 'false')")
Nie polecam czego? takiego robi? tylko string.format poniewa? te? mo?e powsta? sql injection. Do tego funkcja kt?r? poda?e?
Więcej informacji znajdziesz w Wikipedii MTA:

dbPrepareString
pomaga zapobiec sql injection i jest bezpieczniejsza od dbQuery(poza tym niczym si? nie r??ni? )


Dzi?kuj? za pomoc, podasz przyk?ad prawid?owego zapytania, kt?re nie spowoduje przedostania si? tego ataku?
Podpis

Autor OGRPG, na scenie MTA od 2012 roku.




Użytkownik: 08.08.2016
GTAO Member: 06.02.2017
Support-Team: 17.06.2017 & 01.06.2019 - 18.11.2019
Moderator: 14.01.2018 - 09.08.2018
Postaw piwo autorowi tego posta
 

 
Wysłany: 2017-02-13, 16:44


_Haze
Peace Yo!






Wiek: 24
Na forum: 4184 dni
Posty: 1648
Nick w MP: Haze
Piwa: 2628

Respekt: 1020
Respekt: 1020
.WhiteBlue, 

format string.format("INSERT INTO `pojazdy`(`model`,`x`,`y`,`z`) VALUES (`%s`,`%s`,`%s`,`%s`) ",492,0,0,10)
i insertujesz format
Postaw piwo autorowi tego posta
 

 
Więcej szczegółów
 Wystawiono 1 piw(a):
.RiV
Wysłany: 2017-02-13, 17:16


PolskiSebek12
Programista






Wiek: 28
Na forum: 4346 dni
Posty: 343
Nick w MP: CrosRoad95
Piwa: 3883

Respekt: 288,8
Respekt: 288,8Respekt: 288,8Respekt: 288,8

Ostrzeżeń: 100%
w mta bardzo trudno jest wykona? sql injection, samo
zapytanie("insert into tabela values(?,?,?)",1,'test',0x6%0x2)
bez prepare uniemo?liwi wykonanie ataku, testowa?em r?zne sposoby atakowania i wklejenie nawet ca?ej tablicy znak?w ansii i utf8 zako?czy?o si? sukcesem
Podpis
Postaw piwo autorowi tego posta
 

 
Więcej szczegółów
 Wystawiono 1 piw(a):
.RiV
Wysłany: 2017-02-13, 20:12


.RiV






Wiek: 25
Na forum: 3588 dni
Posty: 554
Nick w MP: Split
Piwa: 2596

Respekt: 597,8
Respekt: 597,8
"PolskiSebek12" napisał/a:

w mta bardzo trudno jest wykona? sql injection, samo
zapytanie("insert into tabela values(?,?,?)",1,'test',0x6%0x2)
bez prepare uniemo?liwi wykonanie ataku, testowa?em r?zne sposoby atakowania i wklejenie nawet ca?ej tablicy znak?w ansii i utf8 zako?czy?o si? sukcesem


Dzi?kuj? Ci bardzo za pomoc, m?g?by? mo?e wyt?umaczy? dzia?anie tej funkcji dbPrepareString? By? bym Tobie bardzo wdzi?czny.
Podpis

Autor OGRPG, na scenie MTA od 2012 roku.




Użytkownik: 08.08.2016
GTAO Member: 06.02.2017
Support-Team: 17.06.2017 & 01.06.2019 - 18.11.2019
Moderator: 14.01.2018 - 09.08.2018
Postaw piwo autorowi tego posta
 

 
Tagi: sql :: injection
Anonymous





Na forum: 245 dni
Posty: 1
Anonymous Koniecznie zajrzyj na:






Skocz do:  
Wyświetl posty z ostatnich:   
GTAONLINE.PL » JĘZYKI PROGRAMOWANIA » LUA » SQL Injection Ten temat jest zablokowany bez możliwości zmiany postów lub pisania odpowiedzi

Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
 Dodaj temat do Ulubionych
Wersja do druku