آموزش پچ باگ sql

keivan · مرداد 91

سلام به همه.

امروز داشتم تو فروم می گشتم دیدم استاد Phantom Wolf هم در این فروم حضور دارند !!

واقعا در حضور ایشون نمیشه پست داد !

ولی خب با اجازه ی استاد:

در این آموزش می خوام بهتون بگم که چجوری باگ sql رو پچ کنید :4d564ad6::4d564ad6:

فکر کنید شما یه همچین کدی دارید :

<?php
$q="select * from TABLE where id=".$_GET['id'];
$q1=mysql_query($q);
?>

میبینید که اینجا میشه query sql ران کرد بدون هیچ فیلتری.

یکی از راه ها استفاده از تگ int و راه دیگه هم استفاده از تگ escape هست (البته راه زیاد داره!)

که کد بالا یا میشه :

<?php
$id=(int)$_GET['id'];
$q="select * from TABLE where id='".$id."'";
$q1=mysql_query($q);
?>

یا با تگ escape میشه :

<?php
$id=$_GET['id'];
$q="select * from TABLE where id='".mysql_real_escape_string($id)."'";
$q1=mysql_query($q);
?>

امیدوارم منظور رو رسونده باشم.

(از استاد Phantom Wolf هم عذرخواهی می کنم که حضوری از ایشون اجازه نگرفتم)

یا حق و در پناه خدا:sarma:

مرداد 91

به به داش کیوان گل. :thanks:

چطوری دادا پیدات نیست یه مدت :didi:

در کل خوشحال شدم.

من که دیگه فعالیت نمی کنم به خاطر یه سری مسایلی که با چند تا از مدیر ها پیش اومد ولی خوشحال میشم که تو اومدی

پیروز و پایدار:auizz3ffy9vla57584x

2 پست در این موضوع