¿Es mi código seguro?

Iniciado por DarkItachi, 11 Octubre 2009, 19:07 PM

0 Miembros y 1 Visitante están viendo este tema.

WHK

CitarPongo de usuario:

-1' UNION UPDATE jugadores SET passphrase='202cb962ac59075b964b07152d234b70' WHERE usuario='admin

Porque no puedes hacer un update dentro de un select  :P

http://foro.elhacker.net/nivel_web/inyeccion_sql_mysql_update_dentro_de_un_select-t241813.0.html

todo eso está en el mismo enace que te di mas arriba  :P.

Lo que puedes hacer son dos cosas:

1. Leer todos esos enlaces y documentarte mas sobre seguridad web para entender que debes aplicar el filtro que te dijo nakp.
2. aplicar el filtro que te dijo nakp sin leer nada.

DarkItachi

Cita de: WHK en 11 Octubre 2009, 23:29 PM
CitarPongo de usuario:

-1' UNION UPDATE jugadores SET passphrase='202cb962ac59075b964b07152d234b70' WHERE usuario='admin

Porque no puedes hacer un update dentro de un select  :P

http://foro.elhacker.net/nivel_web/inyeccion_sql_mysql_update_dentro_de_un_select-t241813.0.html

todo eso está en el mismo enace que te di mas arriba  :P.

Lo que puedes hacer son dos cosas:

1. Leer todos esos enlaces y documentarte mas sobre seguridad web para entender que debes aplicar el filtro que te dijo nakp.
2. aplicar el filtro que te dijo nakp sin leer nada.

Ok, pero hay una cosilla que no entiendo :S  :-(

A ver tu usas esto, no?


admin' union select 'admin','e10adc3949ba59abbe56e057f20f883e',3,4

Con eso estas asignando la pass al admin? Yo pensaba que select era solo para mostrar datos :S

De donde vienen el ,3,4?
Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

Hadess_inf


DarkItachi

Cita de: Hadess_inf en 13 Octubre 2009, 02:57 AM
No uses REQUEST .

Gracias por el consejo, otra cosa, podríais responderme a esto porfavor?

Ok, pero hay una cosilla que no entiendo :S  :-(

Cita de: DarkItachiA ver tu usas esto, no?


admin' union select 'admin','e10adc3949ba59abbe56e057f20f883e',3,4

Con eso estas asignando la pass al admin? Yo pensaba que select era solo para mostrar datos :S

De donde vienen el ,3,4?
Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

WHK

#14
para esas preguntas necesitas saber primero programar en mysql, saber que union concatea dos selecciones y cada valor es una columna para igualar a las comumnas del primer select y no estoy actualizando contraseñas, me estoy devolviendo datos falsos para hacer login

http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_71009-t244090.0.html

Donde dice
CitarTutoriales y talleres
hazle click a todo lo que diga inyección SQL.

aunque no te va a servir de nada si no sabes mucho de mysql

дٳŦ٭

No uses PHP, no leas a WHK (únicamente quiere hackearte), no visites elhacker.net (tiene malwares), no useís internet, no prendas tu pc, no salgas a la calle, no te muevas de tu lugar ya que puedes resbalar. XDDDDDDD Es broma jaja.

Mira, lo muevo a bugs web ya que allá hay más expertos que por acá, pero pásate por:

Parser htmlspecialchars()
https://foro.elhacker.net/php/parser_htmlspecialchars-t257852.0.html

NST Web Based Anti-DoS v0.1 
https://foro.elhacker.net/php/nst_web_based_antidos_v01-t257187.0.html



Con sangre andaluza :)