![]() |
Как обойти функцию mysql_escape_string?
|
Цитата:
Вообще эта функция экранирует кавычки для скуль-запроса и еще что-то незначительное. P.S. некоторые кодеры, без знания дела, и целочисленные значения фильтруют этой функцией, что НЕДОПУСТИМО. Я сам из таких кодеров был |
я просто в гугле читал што ета функция пропускает какуюто кодировку и которая понятна для mysql только вот где што и как нигде не обьясняется
|
Цитата:
|
http://raz0r.name/vulnerabilities/sql-inekcii-svyazannye-s-multibajtovymi-kodirovkami-i-addslashes/
|
Цитата:
Баги для указанных функций доступны и в php последних версий? |
mysql_escape_string (PHP 4 >= 4.0.3, PHP 5)
addslashes (PHP 4, PHP 5) |
Цитата:
|
Цитата:
Код:
|
уязвимость в мультибайтовых кодировках BIG5, EUC-JP, EUC-KR, GB2312 и SHIFT_JIS и др. utf-8 хоть и мультибайтовый, но под данную уязвимость не попадает (c)
|
Цитата:
qaz Перечитай статью,ты ничего не понял. |
ну я например делаю так
Код:
"SELECT * FROM table WHERE id = '".mysql_real_escape_string($_GET['id'])."' and name = '".mysql_real_escape_string($_GET['name'])."'";name строка |
Цитата:
|
Цитата:
PHP код:
походу БД должна быть в любой кодировке, совместимой с asci, а на сайте использоваться одна из перечисленных в статье. Если я правильно все это понимаю, то в таком несоответствии возможна инъекция... |
| Время: 17:52 |