об иньекциях поподробнее

Здравствуйте, все никак не мог зарегистрироваться, вот сейчас назрел вопрос =)

Код (Text):

1. INSERT INTO votes_polls (user_id, poll_id, vote_value) VALUES (1,2,3)

банальный запрос, добавляющий голос юзера на голосовании, все три поля - числовые.
Правда value в них попадает в виде $_POST['value'], на лицо т.н. иньекция. Оно в общем и понятно, но не могли бы вы на пальцах объяснить - каким образом оно может быть использовано? Ведь говорили мускл не поддерживает подзапросы, поэтому подзапрос нельзя вставить (поэтому и удалить не получится, ни вставить). Вывести содержимое таблицы? Но ведь вывод осуществляет не запрос - а парсер получающий результат запроса, а он зачастую не выдает все в виде print_r за еще учитывая, что может вернуться другая таблица...

 

вот даже скрипт для теста сделал, любые попытки внутреннего инсерта выдают "некорректный синтаксис". может для мускла слухи ою иньекциях преувеличены? (я не пытаюсь доказать безопастность тыкой дырки, просто интересно, никто так и не смог ничего внятного показать, обычно фокусы проводят на SELECT, где в WHERE указывают условия показа всех записей, например заблоченого форума).

Код (Text):

1. <?php
2.  
3.     $db_c=mysql_connect("localhost", "testuser", "testpassword");
4.     $db_s=mysql_select_db("tablehack");
5.  
6.     if(!$db_c){
7.         die(mysql_errno()." : ".mysql_error());
8.     }elseif(!$db_s){
9.         die(mysql_errno()." : ".mysql_error());
10.     }
11.  
12.     if(isset($_GET['create'])){
13.         $query="CREATE TABLE votes_polls (
14.                 id INT(10) UNSIGNED NOT NULL AUTO_INCREMENT,
15.                 user_id int(10) NOT NULL default '0',
16.                 poll_id int(10) NOT NULL default '0',
17.                 vote_value int(10) NOT NULL default '0',
18.                 PRIMARY KEY  (id)
19.         ) TYPE=MyISAM;";
20.         $result=mysql_query($query);
21.         if(!$result){
22.             echo mysql_error();
23.         }
24.     }
25.  
26.     if(isset($_GET['value'])){
27.  
28.         $query="INSERT INTO votes_polls (user_id, poll_id, vote_value) VALUES (1,2,".$_GET['value'].")";
29.  
30.         $result=mysql_query($query);
31.         if(!$result){
32.             echo mysql_error();
33.         }else{
34.             echo "true";
35.         }
36.     }
37. ?>

 

Mr.M.I.T.
вот об этом я и говорю.

Код (Text):

1.  - А погуглить?
2.  - А попробывать?

сейчас ветка начинает принимать несколько иной оборот (что может повлечь закрытие, но не хотелось бы), но почему то все примеры взлома не работали. Скрипт выше я написал, дырка видна невооруженным глазом, пока никто так и не сказал, что именно там можно навредить.

ошибка корректности синтаксиса так же выходит и в примере Luge.
прошу прощения, пример Luge работает, спасибо что указали конкретную дырку.

 

правильно ли я понимаю, что поставив апостофы я убиваю эту возможность накрутки?

Код (Text):

1. VALUES ('1','2','".$_GET['value']."')

ведь магические кавычки на большинстве вебсерверов включены, и они помешают вставить дополнительный параметр.

 

Горбунов Олег

Код (Text):

1. INSERT INTO votes_polls (user_id, poll_id, vote_value) VALUES ('1','2','5\'),(\'1\',\'2\',\'5\'),(\'1\',\'2\',\'5')

 

Это то, что делают кавычки магические =)

Вообще все это навеяно тоннами примеров различных кульхацкеров, пишущих много статей о взломе, кучу примеров с иньекциями, а вот пока только Luge написал что то рабочее к конкретному коду, спрашивается, а что другие - пишут не пробуют? в том числе куча шлака по ссылке Mr.M.I.T.

 

Горбунов Олег
а если мне еще и доступ к шелу дали, расписав это на главной странице? =)

 

Горбунов Олег

имено для такого ответа сделана ремарка во втором моем посте в скобках =)