Sql database bug - problem

[carbon]

Witam ponownie,

Czy ktoś z Was bawił się kiedyś błedami sql w stronach www? Osobiście znam się trochę na php & sql, ale mam pewnien problem; Zobaczcie sami na poniższych przykładach:


oto strona nr 1 z oryginalnym adresem:

Kod php:

http://www.mathtoearth.org/forum/questions/questionlist.php?query=SELECT%20DISTINCT%20id,%20questiontext,%20authorid,%20date,%20answered%20FROM%20questions%20WHERE%201=1&page=0&limit=1 


Strona na 100% wykonuje zapytanie sql, wystarczy wpisać parę bzdur i pojawi się błąd.

Chcę wykonać np.: takie zapytanie:

[PHP]http://www.mathtoearth.org/forum/questions/questionlist.php?query=UPDATE questions SET questiontext = "Shackowane pytanie."[PHP]

i to już nie dizała... Próbowałem doklejać nowe zapytanie za pomocą UNION, ale bez skutku...


Dzięki za odpowiedź,
Pozdrawiam

[ble34]

co strona genialna wogóle
http://www.mathtoearth.org/forum/authors/authors.php
http://www.mathtoearth.org/forum/

no cały szkopół w określeniu nazw tabel
np
http://www.mathtoearth.org/forum/questions/questionlist.php?query=SELECT * FROM questions
wykonuje się prawidłowo
więc mógłbys wyciągnąć wszytko co chcesz tylko musisz wiedzieć co i zkąd

[TQM]

Po prostu questionlist.php nie pozwala na zmienianie danych i ma na sztywno zakodowane nazwy zadan... to ze zaptanie SQL jest w URLu nie znaczy ze program jest podatny na SQL Injection, choc nie mowie ze nie jest - nie sprawdzalem i nie mam teraz czasu na to.
Zauwaz ze pisal to matematyk programista :-) wiec na pewno dobrze przemyslal zalozenia zacznim zaczal cos robic

[carbon]

Nazwy tabel są podane :P za SELECT DISTINCT Dziwne jest to, że ludzie odsłaniają query :/

[ble34]

dobra to są rzecy które mja bycpobrane z questions
ale cała baza danych moze miec chyba owiele więcei rekordów
doktórych mógł byś sieodwołać gdybyś znał nazwy

[TQM]

ble34 tu nie chodzi o nazwy i ich znajomosc lub nie... tu chodzi o to ze skrypt do wyswietlania pytan moze miec na przyklad uprawnienia tylko do robienia SELECT'ow i nic inne nie zadziala... to na prawde proste!

[ble34]

no ja wiem że moze co niezmienia faktu że gdy nie umiesz określic struktóry bazy danych
to to czy skrypt jest podatny na sql injection czy nie
niema juz żadnego znaczenia
oile sprawdzenie np gdzie sa przechowywane hasła w standardowei instalacji jportalu jest proste
i mozna sobie wtedy dołączać
uniny i je pobierac
o tyle w stronach domowei roboty
cała sztuka polega na określeniu
nazw tabel i rekordó bazy danych no nie?
a reszta to kosmetyka ze się tak wyraże
oczywiście jesli strona jest podatna na sql ijection
w jekiei kolwiek formie
bo jeśli nie no to bezsensu
a ta jest
mówisz skrypt moze dopuszcac tylko selekty
wtei sytuacji chyba aż selekty

chociaż zapomniałem ze sa takie opcje jak dodawanie i niszczenie tabel
no ale zaurzmy że chocdzi o typowuy sql injection wciągniecie hasła i loginu z jakiegos tam rekordu
to przeciez najpoierw tzreba wiedzieć
jakąma nazwe

[TQM]

ehhh poczytaj dokladniej co potrafi jaka wersja bazy SQL... kazda jest nieco inna, jednak tak czy inaczej potrafi sporo rzeczy wiecej niz zwykle SELECT, UPDATE, INSERT czy DELETE...

1. Mozna poznac cala strukture bazy do ktorej jestes podlaczony najczesciej za pomoca jednego lub dwoch polecen...
2. Mozna ograniczyc userowi dostep do bazy/tabel tylko do polecen SELECT - nawet w MySQL'u... nic wiecej wtedy nie zrobi bo do innych operacji jest juz inny user.

[ble34]

no i ok co niezminia faktu ze jeśli niezna się struktury to się nic niezrobi
albo jestem ograniczony umysłowo

[TQM]

chyba wiec jestes ograniczony umyslowo (jak sam to ujales) bo wlasnie Ci napisalem ze poznanie struktury to kwestia odpowiednich polecen SQL i baza sama Ci wypluje co ma jak poukladane...

EDIT: jakim cudem inaczej taki phpMyAdmin pokazalby Ci strukture tabel? jakim cudem narzedzia do obslugi baz by to robily gdyby nie polecenia SQL ktore tych informacji dostarczaja?! Oracle, Postgresql, MySQL... mozna wymieniac na prawde dosc dlugo...