Pagina 2 din 2 PrimulPrimul 12
Rezultate 11 la 20 din 20

Subiect: Price.ro hacked | SQL Injection

  1. #11
    Avatarul lui haos
    haos este deconectat Ambasador
    Reputatie:
    54
    Data înscrierii
    19th February 2008
    Locaţie
    Craiova
    Posturi
    2.239
    Putere Rep
    54

    Implicit

    "Niste script kiddies" sunt cei care le-au realizat. Pai daca realizezi un site si nici macar "strip_tags si real_escape_string" nu folosesti - script kiddie te numesti.
    Pai daca unu' care da copy/paste afla informatii confidentiale, nici nu vreau sa ma gandesc ce ar putea face cineva care mai si stie cate ceva.

  2. #12
    Avatarul lui forapathy
    forapathy este deconectat Membru SeoPedia
    Reputatie:
    26
    Data înscrierii
    7th May 2007
    Locaţie
    Iasi
    Vârstă
    35
    Posturi
    212
    Putere Rep
    26

    Implicit

    Citat Postat în original de haos Vezi Post
    "Niste script kiddies" sunt cei care le-au realizat. Pai daca realizezi un site si nici macar "strip_tags si real_escape_string" nu folosesti - script kiddie te numesti.
    Pai daca unu' care da copy/paste afla informatii confidentiale, nici nu vreau sa ma gandesc ce ar putea face cineva care mai si stie cate ceva.
    exact.. nici ca nu puteam sa zic mai bine
    citisem o carte despre securitatea in php si "sql injection" e 1 capitol din 14
    concluzia la cartea aia e ca mai bine ramai offline ))
    Scriu, rar, pe point47 diverse tips&tricks in web-dev.

  3. #13
    Avatarul lui haos
    haos este deconectat Ambasador
    Reputatie:
    54
    Data înscrierii
    19th February 2008
    Locaţie
    Craiova
    Posturi
    2.239
    Putere Rep
    54

    Implicit

    aoleo tu citesti? pai atunci nu e bine sa te apuci de facut siteuri. app, ce carte?

  4. #14
    Avatarul lui forapathy
    forapathy este deconectat Membru SeoPedia
    Reputatie:
    26
    Data înscrierii
    7th May 2007
    Locaţie
    Iasi
    Vârstă
    35
    Posturi
    212
    Putere Rep
    26

    Implicit

    mai citesc ce sa-i faci

    PHP Architects Guide to PHP Security - Marco Tabini and Associates

    si mai este si

    Pro PHP Security - Apress

    daca le vrei pot sa ti le trimit pe mail .. dar a 2-a are 13mb
    Scriu, rar, pe point47 diverse tips&tricks in web-dev.

  5. #15
    Avatarul lui Obelix
    Obelix este deconectat Membru SeoPedia
    Reputatie:
    25
    Data înscrierii
    7th October 2007
    Locaţie
    Romania
    Posturi
    156
    Putere Rep
    25

    Implicit

    Funny e ca PHP-ul are by default magic_quotes_gpc on, deci sa pici la asa ceva cu PHP-ul e deja imbecilitate profunda.

  6. #16
    Avatarul lui skreach
    skreach este deconectat Junior SeoPedia
    Reputatie:
    0
    Data înscrierii
    5th October 2007
    Posturi
    2
    Putere Rep
    0

    Implicit

    Sunt Tocsixu de pe hackersblog.org , imi cer scuze ca a fost nevoie sa ... "imprumut" un user pentru a putea posta aici (nu stiu al cui e, nu imi pasa), dar administratorul seopedia a fost prea paranoic si nu a vrut sa imi faca un cont, cu motive gen:
    Nu aprob hackareala si nici atacurile si injectiile doar de dragul meseriei.

    Citat Postat în original de forapathy Vezi Post
    ei se pricep.. niste script kidies care au gasit pe wiki sau alte siteuri ca daca pui intr-un input field: admin';-- restul comenzilor din sql sunt ignorate..
    si sunt mult mai multe feuri de a te juca cu SQL-ul si inputurile neprotejate..
    sql injection nu e hacking..
    si functiile strip_tags si real_escape_string din php te pot salva de la multe situatii de astea penibile..
    forapathy, e foarte usor sa arunci cu vorbe defaimatoare la adresa cuiva fara sa stii despre cine vorbesti asa-i?

    Revenind la gafele tale gen daca pui intr-un input field: admin';-- restul comenzilor din sql sunt ignorate.. sau si functiile strip_tags si real_escape_string din php te pot salva... evidentiezi intr-un mod edificator faptul ca ai citit 1-2 pagini despre SQL/PHP ca apoi sa faci pe marele coder/security researcher.
    Cu -- nu scapi de fiecare data de cealalta parte a query-ului sql cum nici mysql_real_escape_string sau magic_quotes nu te protejeaza intotdeauna de SQL Injection-uri. Cea mai buna varianta e sa faci filtrari si verificari proprii, in general sa te asiguri ca inputul nu are alta forma decat cea pe care o asteptai tu.
    Ultima modificare făcută de skreach; 28th November 2008 la 18:11.

  7. #17
    Avatarul lui pustiu
    pustiu este deconectat Membru SeoPedia
    Reputatie:
    28
    Data înscrierii
    28th April 2006
    Locaţie
    Cluj Napoca
    Vârstă
    40
    Posturi
    160
    Putere Rep
    28

    Implicit

    "imprumut" un user pentru a putea posta aici (nu stiu al cui e, nu imi pasa)
    Hai ca asta m-a facut cel putin sa zambesc la final de saptamana.
    Vad ca mai toti il considerati pe Tocsixu si pe cei de pe acolo ca ceva raufacatori, care nu ar trebui sa aiba dreptul la replica.
    Din cate am citit la ei pe blog nu fac chestiile astea cu rea intentie ci doar sa traga un semnal de alarma adminilor si webmasterilor.

    Cred ca ideea lor e chiar binevenita, si chiar m-as gandi sa ii cer cateva sfaturi in privinta securitatii site-urilor pe care le am. Ganditi-va ca ei nu fac altceva(pana la proba contrarie ii cred pe cuvant) decat sa testeze si sa descopere daca un site este vulnerabil, dupa care anunta adminul sau detinatorul pentru a remedia problema inainte de a face publice orice fel de date.

    Asadar bucurati-va daca da peste voi Tocsixu si nu vreun alt hacker care sa va faca cine stie ce cu site-ul.
    Tocsixu - felicitari pentru initiativa! Atata timp cat incercati sa folositi cunostintele voastre pentru a indrepta anumite lucruri, din partea mea, jos palaria!

  8. #18
    Avatarul lui Federals
    Federals este deconectat Ambasador
    Reputatie:
    26
    Data înscrierii
    29th November 2007
    Locaţie
    Bucuresti
    Posturi
    612
    Putere Rep
    26

    Implicit

    ... asa ca folositi proceduri stocate si comenzi parametrizate

  9. #19
    Avatarul lui forapathy
    forapathy este deconectat Membru SeoPedia
    Reputatie:
    26
    Data înscrierii
    7th May 2007
    Locaţie
    Iasi
    Vârstă
    35
    Posturi
    212
    Putere Rep
    26

    Implicit

    pai mai eu nu am vazut acolo decat sql injection .. si .. atat.. nimic mai "serios" ca sa zic asa.. de asta am zis "script kiddies"
    ca vulnerabilitati de astea care cred ca tin mai mult de lene si ipocrizie (si prostie nu in ultimu rand) din pacate se gasesc destul de usor si nu ii fac pe detinatorii/detinatorul acelui blog foarte mari hacker/crackeri(ca si asta sunt notiuni tare dezbatute )

    eu unul cel putin sunt fan a chestiilor de genu si sa fi gasit eu vulnerabilitatile as fi dat drop table fara sa stau pe ganduri ca doar cu avertizari sa isi repare greselile.. nu te baga nimeni in seama.. si nici nu se vor invata minte altfel..

    p.s. si nu am facut nicio gafa ci doar ziceam asa in mare.. ca sa fim seriosi ca nici daca treci inputu prin real_escape si strip_tags omu poate sa scrie x0A in loc de ; .. si ce o mai fi .. si sunt mult prea multe posibilitati

    si pana la urma ce conteaza.. script kiddie sau nu.. atata timp cat se gaseste cate cineva sa le dea peste nas la "profesionistii" aia nu pot sa zic decat mult succes in continuare
    Scriu, rar, pe point47 diverse tips&tricks in web-dev.

  10. #20
    Avatarul lui Xh[3]LaR
    Xh[3]LaR este deconectat Junior SeoPedia
    Reputatie:
    0
    Data înscrierii
    25th May 2007
    Locaţie
    www.xh3.org
    Vârstă
    27
    Posturi
    9
    Putere Rep
    0

    Implicit

    Citat Postat în original de forapathy Vezi Post
    eu unul cel putin sunt fan a chestiilor de genu si sa fi gasit eu vulnerabilitatile as fi dat drop table fara sa stau pe ganduri ca doar cu avertizari sa isi repare greselile.. nu te baga nimeni in seama.. si nici nu se vor invata minte altfel..
    Cumva nu stii ca mysql_query() nu iti permite query-uri multiple? Se pare ca visele tale mult prea frumoase in care tu dai drop table tocmai ti-au fost spulberate.

    Citat Postat în original de forapathy Vezi Post
    p.s. si nu am facut nicio gafa ci doar ziceam asa in mare.. ca sa fim seriosi ca nici daca treci inputu prin real_escape si strip_tags omu poate sa scrie x0A in loc de ; .. si ce o mai fi .. si sunt mult prea multe posibilitati
    Ai gafat... din nou. In primul rand, 0x0A e line feed-ul, nu are nici o treaba cu ;. Si chiar daca ai putea introduce in query nu 0x0d0a, nu rezolvi nimic, tot un singur query e.
    Dar oricum, si planul asta tau esueaza din start, degeaba crezi tu ca in query o sa apara 0x27, tot ' apare si tot o sa fie escape-uit de mysql_real_escape_string.

    Insa din pacate asa gandesc majoritatea coderilor din ziua de azi: "eh, am citit si eu acolo o data ce face functia aia... si aia... si gata, stiu cum functioneaza totul". Guess again...

    Si te rog, nu ma mai provoca la alt reply, mi-e groaza sa intru iar pe-aici sa violez intimitatea altor useri (still Tocsixu @hackersblog)
    Ultima modificare făcută de Xh[3]LaR; 29th November 2008 la 01:29.

Pagina 2 din 2 PrimulPrimul 12

Informații subiect

Utilizatori care navighează în acest subiect

Momentan este/sunt 1 utilizator(i) care navighează în acest subiect. (0 membrii și 1 vizitatori)

Thread-uri Similare

  1. Link Price Calculator
    De Cristian Mezei în forumul Link-uri/Bannere
    Răspunsuri: 36
    Ultimul Post: 21st September 2010, 16:15
  2. sql injection?
    De Danielu în forumul Discutii generale privind optimizarea si motoarele de cautare
    Răspunsuri: 3
    Ultimul Post: 7th January 2009, 10:24
  3. Contact Price.ro
    De KidRock în forumul Bar, lobby...
    Răspunsuri: 10
    Ultimul Post: 12th December 2008, 16:33
  4. SQL injection ?
    De radanick în forumul Discutii generale privind optimizarea si motoarele de cautare
    Răspunsuri: 9
    Ultimul Post: 3rd December 2008, 09:16
  5. price comperison
    De anonimul666 în forumul Comert electronic, e-Commerce
    Răspunsuri: 13
    Ultimul Post: 10th March 2008, 23:10

Permisiuni postare

  • Nu puteţi posta subiecte noi.
  • Nu puteţi răspunde la subiecte
  • Nu puteţi adăuga ataşamente
  • Nu puteţi modifica posturile proprii
  •