problem mysql

[31337]

Kod php:

<?php
mysql_connect('127.0.0.1','user','pass') or die('error');
mysql_query('insert into `tabelka` (`cos`,`cos2`) values (\'jakisbyle jaki text i 1234567\','.$_GET['jakas_zmienna'].')');
?>

taki przykłaowy kodzik nie działa, wie ktoś czemu?

[Mad_Dud]

Kod php:

<?php
mysql_connect('127.0.0.1','user','pass') or die('error');
mysql_query('insert into `tabelka` (`cos`,`cos2`) values (\'jakisbyle jaki text i 1234567\','.$_GET['jakas_zmienna'].')');
?>

taki przykłaowy kodzik nie działa, wie ktoś czemu?

Jaki błąd zwraca?
http://pl2.php.net/mysql_error

Nie możesz slashować apostrofów

Kod:

\'

no i "cos" .. nie wymaga apostrofów czy co Ty tam użyłeś.

Jaki to ma związek z bezpieczeństwem?
http://php.net
http://php.pl

[31337]

Nie możesz slashować apostrofów

to wyjaśnij mi jak bez używania " ma działać.

no i "cos" .. nie wymaga apostrofów czy co Ty tam użyłeś.

możesz dokładniej?

edit:
już sobie poradziłem. Problem tkwił w tym, że uczyłem się php z jakiejś pojeba**j książki, i nauczono mnie wstawiania quotów w argument tablicy.
edit2:
chociaż i z nimi dziala ehh, juz nie wiem co z tą bazą jest...

[TQM]

A nie prosciej uzywac ? zamiast podstawiania parametrow do stringa?
Robiac w ten sposob jak robisz pracujesz na naklejke 'SQL-Injection Rady' :-) a podajac ? w zapytaniu i przekazujac parametry podczas wywolania execute masz ten problem z glowy...

[31337]

nie zabardzo rozumiem, chodzi ci oto, żeby podawać zmienne w ten sposób?:
http://host.pl/skrypt.php?zmienna1&zmienna2

co do sql injection, to może się myle, ale wystarczy chyba magic_quotes_gpc = On ?

[ble34]

niewystarczy magic-quote
chodzi oto że w zmiennei $_GET lub $_POTS możesz podać wszytko
cobędzie jeśli z a $_GET['zmienna']
podstawisz jakieś zapytanie sql
wyjdzie np
insert into antek values(null,null,cośtam,\"$_GET[zmienna]\");
a $_GET[zmiena]=delete from antek where 1;
moga być problemy
dlatego wszelkie dane które pochodza od urzytkowników
musza być filtrowane

[31337]

nie działa, dodaje się do tabeli delete from~
poprostu trzeba umieć pisać stringi w '.

mysql_query('insert into `77324`.`tabela` (`a`) values (\''.$_GET['a'].'\') where `user`=\''.$_GET['user'].'\'');

[ble34]

Niewiem stary ja sie na tym nieznam
ale jest takie przykazanie Boże or Borze
filtruj wszytko co pochodzi
od urzytkownika
jak ma byc liczba niech będzie liczba
jak ma być string to sie upewni że niebedzie psocił
oczywiście o xss niewspominając

[TQM]

nie działa, dodaje się do tabeli delete from~
poprostu trzeba umieć pisać stringi w '.

Hahahahaha... no to zapracowales uczciwie na naklejke 'SQL-Injection Ready' - nie mam pytan!

Poczytaj co to SQL Injection i jak dziala... a co jesli ja podam w formularzu dane w postaci URL-encoded albo UTF-8 - co wtedy zrobi Twoj skrypt? Nic... pusci to jak leci... a ja zakodowalem sobie latnie ' jeden z drugim i swoje polecenia SQL...

Jakby to bylo takie proste to by inkt na forum tyle czasu klawiszy nie strzepil... a bylo dyskutowane! Jesli u mnie w firmie ktos z koderow PHP by tak powiedzial to momentalnie moglby zaczac szukac nowej pracy.

[31337]

Kod php:

<?php
mysql_connect('127.0.0.1','******','******') or die ('ERROR!!!');
mysql_query('insert into `*******`.`hackme` (`a`,`b`,`c`) values (\''.$_GET['a'].'\',\''.$_GET['b'].'\',\''.$_GET['c'].'\')');
$sql=mysql_query('select `a`,`b`,`c` from `*******`.`hackme`');
while($x=mysql_fetch_assoc($sql))
{
print(htmlspecialchars($x['a']).'<br/>'.htmlspecialchars($x['b']).'<br/>'.htmlspecialchars($x['c']).'<br/><br/>');
}
?>

http://31337.freevar.com/hackme.php

Prsze bardzo. W bazie jest tylko 1 tabela z 3 kolumnami typu text. Udowodnij mi, że skrypt jest dziurawy. Ja sprawdzałem z różnym kodowaniem, dodaje się do bazy jak normalnie.

[edited]
i co?
tqm
powiedzialeś, że jestm debilem nieznającym mysqla (a ucze się go 2 dzień ), więc UDOWODNIJ że w skrypcie jest błąd (np skasuj tabelkę hackme).