<form method="get" action="login.php" >
<input type="text" name="user">
<input type="password" name="pass" >
<input type="submit" name="login" value="login">
</form>
http://yoursite.com/login.php?user=admin&pass=123456
<?php
if($user=="admin"){
if($pass=="123456") $login=1;
}
if($login==1){
include("secret.php");
}
?>
http://yoursite.com/login.php?login=1
<?php
$login=0;
if($user=="admin"){
if($pass=="password") $login=1;
}
if($login==1){
include("secret.php");
}
?>
<?php
// input data: $username, $password
include('db_connection.php');
$sql='select * from USERS where username="'.$username.'" and password="'.$password.'"';
$result = mysql_query($sql);
if($result){
echo 'you are Administrator';
}
else{
echo 'Wrong Username or Password';
}
select * from USERS where username="admin" and password="123456"
$password = " OR ""="
select * from USERS where username="admin" and password="" OR ""=""
mysql_real_escape_string();
mysql_escape_string();
'Select * From Users Where Username ="' . str_replace("\\'", "''", $username) . '"...'
<form method="post" action="nazar.php" >
<input type="text" name="name">
<textarea name="nazarat" cols="60" rows="8"></textarea>
<input type="submit" name="login" value="ersal">
</form>
<?php
if ($name and $nazarat){
echo "$name neveshte :<br>$nazarat";
}else{
echo"lotfan esme va nazare khod ra benvisid";
}
?>
htmlspecialchars()
intval()
<?php
if ($name and $nazarat){
$name=htmlspecialchars($name);
$nazarat=htmlspecialchars($nazarat);
echo "$name neveshte :<br>$nazarat";
}else{
echo"lotfan esme va nazare khod ra benvisid";
}
?>
omidak گفت:سلام:
راهي كه PHPBB در نظر گرفته برایه مقابله با SQL Injection اینه که میاد هرچی ' هست به : /'
تبدیل میکن
یعنی:
این کار جلویه هر Injection ای رو میگیره.کد:'Select * From Users Where Username ="' . str_replace("\\'", "''", $username) . '"...'
اما بهترین راه استفاده از Parameter ها هست که دیگه دیگه هیچ دسترسی وجود نداره.
خوبoxygenws گفت:در ضمن، sarallah جان، بد نبود می گفتید، خوب یکی کد html وارد کنه چی میشه!!! خوشحال می شم کمی کامل تر کنید، من سعی کردم فکر کنم که چیزی نمی دونم و مطلبتون رو خوندم... دیدم اصلا نکتهء بدی توش نبود!!!
ممنون، امید
واسه من كه فرقي نميكنه دلت خواست عوض كنراستي اجازه است اين تاپيك اش رو عوض كنيم و بزاريم برنامه نويسيه امن. چون فقط PHP نیست. من .Net هم گفتم
اینو ندیده بودی، چون من بعدا اضافه کردم بیشتر دوست داشتم مقاله ات رو کامل کنیsarallah گفت:من چرا اين قسمت رو نديدم
خوبoxygenws گفت:در ضمن، sarallah جان، بد نبود می گفتید، خوب یکی کد html وارد کنه چی میشه!!! خوشحال می شم کمی کامل تر کنید، من سعی کردم فکر کنم که چیزی نمی دونم و مطلبتون رو خوندم... دیدم اصلا نکتهء بدی توش نبود!!!
ممنون، امید
فرض كنيد شما يه وبلاگ با php نوشتيد و نظر كاربران هم به صورت مستقيم زير نوشته هاي شما نمايش داده ميشه ٬ خوب حالا اگه هيچ نظارتي روي ورودي كابر نباشه كاربر ميتونه لينكهاي ناخواسته ٬ عكسها ناخواسته و كد هاي جاوايي كه بازديدكننده ها رو اذيت كنه ٬ وارد برنامه كنه و در اين صورت اين برنامه ديگه امن نيست
(من جاوا بلد نيستم ولي فكر كنم كاراي خيلي بيشتري هم ميشه كرد )
من به این دلیل که یه مطلب ساخت یافته و درست و حسابی در مورد .net ننوشتی با این قضیه مخالفم یه .net کار نسبتا مبتدی بیار اینجا ببین چیزی می فهمه از اشکال، خطا و توضیحی که --اینجا-- نوشتیsarallah گفت:واسه من كه فرقي نميكنه دلت خواست عوض كنراستي اجازه است اين تاپيك اش رو عوض كنيم و بزاريم برنامه نويسيه امن. چون فقط PHP نیست. من .Net هم گفتم