SQL-Inj или нет?

Цитата ("Anexroid"):

Вот только толку то...

А что хоть ломаете? Дайте мне приложиться)

elosoft, мысль... надо еще посмотреть что там у них с авторизацией... Это то была форма регистрации...

Miller_time, табуретки ))

Ну и ладно

Цитата ("Anexroid"):

elosoft, мысль... надо еще посмотреть что там у них с авторизацией... Это то была форма регистрации...

Кому как повезет... Кому повезет, раскажут остальным .

Эх, форма авторизации непреклона
"Неверная комбинация логина и пароля, повторите ввод"

Цитата ("Anexroid"):

Эх, форма авторизации непреклона
"Неверная комбинация логина и пароля, повторите ввод"

Хоть тут заткнули сообщения сервера . Тогда для них не все потеряно.

Цитата ("elosoft"):

Тогда для них не все потеряно.

Ну может подросток пробовал что-то писать .. это же рнр.. не все же сразу стали гурами

Ну ладно, при помощи ачата могу (если не лень будет скрипт писать) вытянуть email'ы пользователей. Только зачем? =)

Anexroid, отправите всем сообщение о том какой вы великий и могучий хацкер ) А если серьезно , то у многих юзеров стоит везде одинаковый пароль . вКонтакте похамите дурову с 10-15 акков )

А вот с паролем проблема)) Я ж только емаилы могу стянуть... И инфу из ненужных мне полей.

Там в выводе 3 поля всего.

Ну и плюс есть ненужная ерунда типа USER() и DATABASE()

P.S
Бред сказал. Всё, теперь и пароли есть))

Так, просто для себя + может кому-нибудь еще пригодится:

1. Всегда используйте кавычки в запросах.
2. Не доверяйте обработку входящих данных JS. Только PHP. (если сайт на PHP) или Python, или Ruby. в общем, чему угодно, но не JS. Данные должен обрабатывать скрипт на сервере, а не в браузере пользователя.
3. Обрабатываете данные правильно. Если пользователь должен ввести число - преобразуйте переменную в число. Если строку - "отрежьте" всё лишнее, включая спец.символы SQL.
4. Отключайте вывод ошибок. Неужели так сложно?
5. Храните пароли в БД в зашифрованном виде.

Казалось бы, везде это пишут, но почему люди пренебрегают-то?!

P.S
6. Удаляйте с сервера страницу с выводом phpinfo(); Незачем кому то это знать

Спасибо кэп

kirilev, я же сказал - везде пишут. =)

Просто ни одна из этих рекомендаций не выполнена на том сайте

Цитата ("Anexroid"):

Просто ни одна из этих рекомендаций не выполнена на том сайте

А каково предназначение этого сайта? Слишком много неизвестных для решения задачи.. Может регистрация\авторизация была наспех набросана за 15 минут, и сам сайт для тестирования какой-то системы для создания миллиона пользователей, а потом миллиарда, с целью окончательно засорить интернет.. Бог знает что было на уме в автора

Может может может.. нету ссылки - нечего смотреть.. вердикт высосать из пальца нельзя, но можно

Цитата ("Anexroid"):

1. Всегда используйте кавычки в запросах.
2. Не доверяйте обработку входящих данных JS. Только PHP. (если сайт на PHP) или Python, или Ruby. в общем, чему угодно, но не JS. Данные должен обрабатывать скрипт на сервере, а не в браузере пользователя.
3. Обрабатываете данные правильно. Если пользователь должен ввести число - преобразуйте переменную в число. Если строку - "отрежьте" всё лишнее, включая спец.символы SQL.
4. Отключайте вывод ошибок. Неужели так сложно?
5. Храните пароли в БД в зашифрованном виде.

от себя добавлю: используйте хранимые процедуры и валидаторы

И ни в коем случае не выкладывайте скрипты в сеть!

Цитата ("Anexroid"):

Так, просто для себя + может кому-нибудь еще пригодится:...

А еще, если это рабочий сайт, неплохо бы хозяину сайта послать сообщенице о дырке и как ее можно использовать .