Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - ~ Yoya ~

#971
Nivel Web / Re: ASP vulnerable a SQLi por IIS
14 Febrero 2010, 21:54 PM
Cita de: ^TiFa^ en 14 Febrero 2010, 19:54 PM
Supongo que todos los motores de base de datos relacionales son vulnerables siempre y cuando reciban como peticion una consulta SQL completa. Pero si en el caso de que en ese proyecto hecho con ASP utilizaron 'magic quotes' o similar (digase a lo mejor procedimientos almacenados dentro de SQLite) pues amigo.... la inyeccion SQL la tienes un poco dificil (Por no decir yo imposible y terminar de decepcionarte en tu intento  :xD )

magic quotes es una directiva que se puede bypassear, y es casi inutil, porque  aparte de todo eso de seguridad te causa problema cuando pasas datos por GET, nose si en ASP tambien viene desactivada por defecto como en php => 5.3.0, otra de la misma raiz es magic_quotes_gpc(GET, POST, Cookie), tambien es inutil xD, asi mismo como Safe-mode que vendra off por defecto desde php 6, aveces la facilidad para poner seguridad no es lo mejor.
#972
PHP / Re: problema mysql_send.php
14 Febrero 2010, 20:15 PM
PHP & mysql

www.phpya.com.ar/

MYSQL
http://dev.mysql.com/doc/refman/5.0/es/index.html
#973
PHP / Re: problema mysql_send.php
14 Febrero 2010, 19:08 PM
quien fue que codeo el archivo mysql_send.php?
#974
PHP / Re: problema mysql_send.php
14 Febrero 2010, 18:16 PM
Los datos del formularios man, recojo las variables de los formulario aver si contienen algun valor.
#975
Diseño Gráfico / Re: emoticones de el foro
14 Febrero 2010, 17:19 PM
Si lo aprueban les estreno el incono, nunca he usado uno xD.
#976
PHP / Re: problema mysql_send.php
14 Febrero 2010, 17:12 PM
Osea, los datos del formulario, si no estan lleno no se ejecutara el code.
#977
Diseño Gráfico / Re: emoticones de el foro
14 Febrero 2010, 16:46 PM
El jefe tiene 15 mil mensajes, aunque casi ni lo veo postear.

El tiene la Ley de la tabla muy encuenta:


Saludos xicos.
#978
PHP / Re: problema mysql_send.php
14 Febrero 2010, 15:23 PM
No uses magic_quotes_gpc, este se puede bypassear, alguna veces la comodidad no es lo mejor para poner proteccion, mejor pasa todo por htmlentities(), ok a lo que vamos, asi quedaria mejor, si las variables del formulario no contiene ningun valor no se ejecuta el if principal, te recomiendo que las variables del formulario la guardes en una variable porque estar haciendo $_POST['aaaa'], te puede confundir, es mejor tratar de hacer codes limpios asi te evitas problemas o lo resuelves mas facir xD, asi quedaria mejor:

Código (php) [Seleccionar]
<?php
/*Program:  mysql_send.php
 *Desc:     PHP program that sends an SQL query to the
 *          MySQL server and displays the results.
 */
echo "<html>
      <head><title>SQL Query Sender</title></head>
      <body>"
;
if(
ini_get("magic_quotes_gpc") == "1")
{
   
$_POST['query'] = stripslashes($_POST['query']);
}
$host="mysql.webcindario.com";
$user="libertyelche";
$password="******";

/* Section that executes query and displays the results */
if(!empty($_POST['database']) && !empty($_POST['query']))
{
  
mysql_connect($host,$user,$password) or die(mysql_error());
  
mysql_select_db($_POST['database']) or die(mysql_error());
  
$result mysql_query($_POST['query']) or die(mysql_error());
  echo 
"Database Selected: <b>{$_POST['database']}</b><br>
        Query: <b>
{$_POST['query']}</b>
        <h3>Results</h3><hr>"
;
  if(
$result == false)
  {
     echo 
"<h4>Error: ".mysql_error($cxn)."</h4>";
  }
  elseif(@
mysql_num_rows($result) == 0)
  {
     echo 
"<h4>Query completed. 
            No results returned.</h4>"
;
  }
  else
  {
   
/* Display results */
     
echo "<table border='1'><thead><tr>";
            for(
$i 0;$i mysql_num_fields($result);$i++)
            {
             echo 
"<th>".mysql_field_name($result,$i).
                  
"</th>";
            }
     echo 
"</tr></thead>
           <tbody>"
;
     for (
$i=0;$i mysql_num_rows($result);$i++)
     {
        echo 
"<tr>";
        
$row mysql_fetch_row($result);
        foreach(
$row as $value)
        {
           echo 
"<td>".$value."</td>";
        }
        echo 
"</tr>";
     }
     echo 
"</tbody></table>";
  } 
 
/* Display form with only buttons after results */
  
$query str_replace("'","%&%",$_POST['query']);
  echo 
"<hr><br>
      <form action='
{$_SERVER['PHP_SELF']}' method='POST'>
        <input type='hidden' name='query' value='
$query'>
        <input type='hidden' name='database'
               value=
{$_POST['database']}>
        <input type='submit' name='queryButton'
               value='New Query'>
        <input type='submit' name='queryButton'
               value='Edit Query'>
      </form>"
;
  exit();


/* Displays form for query input */
if (@$_POST['queryButton'] != "Edit Query")
{
   
$query " ";
}
else
{
   
$query str_replace("%&%","'",$_POST['query']);
}
?>

<form action="<?php echo $_SERVER['file:///C|/Documents and Settings/Jonatan/Mis documentos/Downloads/PHP_SELF'?>"
      method="POST">
<table>
<tr><td style='text-align: right; font-weight: bold'>
         Type in database name</td>
     <td><input type="text" name="database"
            value=<?php echo @$_POST['database'?> ></td>
</tr>
<tr><td style='text-align: right; font-weight: bold'
         valign="top">Type in SQL query</td>
     <td><textarea name="query" cols="60"
            rows="10"><?php echo $query ?></textarea></td>
</tr>
<tr><td colspan="2" style='text-align: center'>
        <input type="submit" value="Submit Query"></td>
</tr>
</table>
<input type="hidden" name="form" value="yes">
</form>
</body></html>



#979
PHP / Re: problema mysql_send.php
14 Febrero 2010, 14:42 PM
query es una consulta
http://wiki.ideauno.cl/index.php/T%C3%A9rminos_de_inform%C3%A1tica

Te recomendaria que pegues el codigo en el post, porque no a todos nos gusta descargar algo, ps puedes ponerlo aqui.

El codigo que pase funciona asi:
Si los parametros del formulario tienen algun valor o no tienen valor nulo ( 0 o nada), se cumple la condicion y se hace la conexion y todo eso, si no se cumple no hace ninguna conexion hasta que los parametros contengan algun valor.
#980
PHP / Re: problema mysql_send.php
14 Febrero 2010, 00:18 AM
Um.. haz esto:
Código (php) [Seleccionar]
if(!empty($_POST['database']) && !empty($_POST['query']))
{
      mysql_connect($host,$user,$password);

      mysql_select_db($_POST['database']);
... .....
.....
..
.}else{echo 'Ingresa los campos';}


Otra cosa, yo te recomendaria que comiences a cocaneatar las variables en los formularios para evitar posibles errores.