Всем привет! Это уже вторая моя тема по sql инъекции. Проблема не уходит, взламывают сайт и в бд меняют некоторые данные. Уже з***ли, какой то настырный упорно меняет всё. Сайт особо не интересен обычному пользователю, цель сайта такая: люди выкладывают свои эксклюзивные темы и рассказы. И вот кто то их тырит или просто извращается над сайтом. Помогите пожалуйста! Посмотрите код: Регистрация Код (Text): $id = htmlspecialchars($_POST['id']); $id =stripslashes(trim($_POST['id'])); $name = htmlspecialchars($_POST['name']); $name =stripslashes(trim($_POST['name'])); $surname = htmlspecialchars($_POST['surname']); $surname =stripslashes(trim($_POST['surname'])); $city = htmlspecialchars($_POST['city']); $city =stripslashes(trim($_POST['city'])); $email = htmlspecialchars($_POST['email ']); $email =stripslashes(trim($_POST[email '])); $login = htmlspecialchars($_POST['login']); $login=stripslashes(trim($_POST['login'])); $password = htmlspecialchars($_POST['password']); $password=stripslashes(trim($_POST['password'])); //Потом я проверяю empty введены ли данные if (empty($name)) {} // и.т.д //тут идет проверка капчи $password = md5 ($password); //хэширую $password = strrev($password); $password = $password."тут всякая шн*га"; include ("bd.php"); $sql = "SELECT id FROM users WHERE login=:login"; $stmt = $db->prepare($sql); $stmt->bindParam(':login', $login); $stmt->execute(); //ну и записываю $date = date("Y-m-d"); $STH = $db->prepare("INSERT INTO users ( id, name, surname, login, email, password, city, country, date) values (:id, :name, :surname, :login, :email, :password, :city, :country, :date)"); $STH -> execute(array(':id'=>$id, ':name'=>$name, ':surname'=>$surname, ':login'=>$login, ':email'=>$email, ':password'=>$password, ':city'=>$city, ':country'=>$country, ':date'=>$date)); //ну как бы всё, далее идет проверка записались ли в бд, если да то Респект и.т.п Авторизация: Код (Text): if (isset($_POST['login'])) { $login = $_POST['login']; if ($login == '') { unset($login);} } //Проверяю, если нет то удаляю if (isset($_POST['password'])) { $password=$_POST['password']; if ($password =='') { unset($password);} } if (empty($login) or empty($password)) { exit("Вы не ввели логин или пароль!");} $login = stripslashes($login); $login = htmlspecialchars($login); $password = stripslashes($password); $password = htmlspecialchars($password); $login = trim($login); $password = trim($password); include ("bd.php"); $ip=getenv("HTTP_X_FORWARDED_FOR"); //Далее я проверяю ip нужно для того чтобы сделать проверку сколько раз пользователь вводил логин и пароль неверно, если больше 2 то блокирую на 15 минут if (empty($ip) || $ip=='unknown') { $ip=getenv("REMOTE_ADDR"); } mysql_query ("DELETE FROM error WHERE UNIX_TIMESTAMP() - UNIX_TIMESTAMP(date) > 900"); $stmts = $db->query("SELECT col FROM error WHERE ip='$ip'"); $stmts->setFetchMode(PDO::FETCH_ASSOC); $myrows = $stmts->fetch(); if ($myrows['col'] > 2) { exit("Вы набрали логин или пароль неверно 3 раза. Подождите 15 минут до следующей попытки."); } $password = md5 ($password); $password = strrev($password); $password = $password."тут всякая шн*га"; $stmt = $db->prepare("SELECT * FROM users WHERE login=? AND password=?"); $stmt->bindValue(1,$login, PDO::PARAM_INT); $stmt->bindValue(2, $password, PDO::PARAM_STR); $stmt->execute(); $myrow = $stmt->fetch(); if (empty($myrow['id'])) { $select = $db->prepare("SELECT ip FROM error WHERE ip=?"); $select->bindValue(1,$ip, PDO::PARAM_INT); $select->execute(); $tmp = $select->fetch(); if ($ip == $tmp[0]) { $stmt3 = $db->prepare("SELECT col FROM error WHERE ip=?"); $stmt3->bindValue(1,$ip, PDO::PARAM_INT); $stmt3->execute(); $myrow52 = $stmt3->fetch(); $col = $myrow52[0] + 1; mysql_query ("UPDATE error SET col=$col,date=NOW() WHERE ip='$ip'"); } else { mysql_query ("INSERT INTO error (ip,date,col) VALUES ('$ip',NOW(),'1')"); } exit ("<center>Извините, введённый вами логин или пароль неверный.<br><input type='submit' onclick='history.back();' name='submit' value='Вернуться назад' class='yellow-btn'></center>"); } Проверка на странице / личная страница пользователя: Код (Text): session_start(); header("Content-type: text/html; charset=utf-8"); include ("bd.php"); if (isset($_SESSION['id'])) {$id =$_SESSION['id']; } else { exit("<h3>Вы зашил на страницу без параметра.Вернитесь назад и заполните все данные <a href='index.php'>Назад</a></h3>");} if (!preg_match("|^[\d]+$|", $id)) { exit("<p><h3>Неверный формат запроса! Проверьте URL</h3></p>"); } if (!empty($_SESSION['login']) and !empty($_SESSION['password'])) { $login = htmlspecialchars("$_SESSION[login]"); $password = htmlspecialchars("$_SESSION[password]"); $login=stripslashes(trim("$_SESSION[login]")); $password=stripslashes(trim("$_SESSION[password]")); $stmt = $db->prepare("SELECT id FROM users WHERE login=? AND password=?"); $stmt->bindValue(1,$login, PDO::PARAM_INT); $stmt->bindValue(2, $password, PDO::PARAM_STR); $stmt->execute(); $myrow = $stmt->fetch(); if (empty($myrow['id'])) { exit("<center>Вход на эту страницу разрешен только зарегистрированным.</center>"); } } else { exit("<center>Вход на эту страницу разрешен только зарегистрированным.</center>"); } $stmt = $db->prepare("SELECT * FROM users WHERE id=?"); $stmt->bindValue(1,$id, PDO::PARAM_INT); $stmt->execute(); $row = $stmt->fetch(); if (empty($row['login'])) { exit("<center>Пользователя не существует!</center>");} Подключение к бд: Код (Text): try { $db = new PDO('mysql:host=localhost;dbname=page', 'лог', 'пароль'); $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $db->exec("set names utf8"); } catch(PDOException $e) { echo $e->getMessage(); }
я тебя помню именно по этому "эксклюзивные материалы". в реальности люди так не говорят, только в рекламных роликах почему ты думаешь, что виноваты инъекции?
Меняли логины некторых пользователей и в 3 топиках вместо материала, написали всякую ерунду. Добавлено спустя 14 минут 50 секунд: К стати при регистрации есть поле id, это поле для реф ссылки статьи. Если нет то ему присваивается статься, это нужно для того чтобы он лайкнул. Один из условии, при регистрации нужно поставить лайк на статью. я делаю так: Код (Text): function vote() { var req = getXmlHttp() var statusElem = document.getElementById('statia') var statusElem2 = document.getElementById('statia2') req.onreadystatechange = function() { if (req.readyState == 4) { if(req.status == 200) { alert("Вам назначена статья, оцените её после регистрации "); document.querySelector('#id').value = req.responseText; } } } req.open('GET', 'poisk.php', true); req.send(null); statusElem.innerHTML = 'Поиск статьи...' } </script> а в poisk.php следующее: Вытаскиваю так Код (Text): include ("bd.php"); $stmt = $db->prepare("SELECT * FROM `statia` WHERE laik>=? AND laik<=? ORDER BY RAND() LIMIT 1"); $stmt->bindValue(1,0, PDO::PARAM_INT); $stmt->bindValue(2, 10, PDO::PARAM_STR); $stmt->execute(); $row = $stmt->fetch(); sleep(3); echo "$row[id]"; //т.е я вывожу id статью с наименьшим лайком от 0 до 10
Не буду говорить что кодировка не правильно устанавливаешь, открой доки, но что там дальше Что там делает mysql? Добавлено спустя 3 минуты 20 секунд: Не легче if($_POST['login'] != ''){ $login = $_POST['login']; } Как вообще у тебя что то работает? Добавлено спустя 3 минуты 9 секунд: Чувак твое приложение полный отстой, возможно дырыще у тебя где в другом месте и вряд ли ты это найдешь. Выкладывай исходники или ссыль на сайт, может надется человек кто протестирует это.
Вообще, вроде большинство запросов через плейсхолдеры, не должно быть sql-инъекций. В логах доступа есть sql-команды?
в прошлый раз я уже писал тебе, что система уязвима настолько, насколько уязвимо ее самое слабое звено. а ты по прежнему трендишь "вроде в большинстве мест...". сам себе злобный буратино. заплати уже один раз чтобы твое лоскутное одеялко поменяли на что-то нормальное.
Код (Text): $id = htmlspecialchars($_POST['id']); $id =stripslashes(trim($_POST['id'])); $name = htmlspecialchars($_POST['name']); $name =stripslashes(trim($_POST['name'])); $surname = htmlspecialchars($_POST['surname']); $surname =stripslashes(trim($_POST['surname'])); $city = htmlspecialchars($_POST['city']); $city =stripslashes(trim($_POST['city'])); $email = htmlspecialchars($_POST['email ']); $email =stripslashes(trim($_POST[email '])); $login = htmlspecialchars($_POST['login']); $login=stripslashes(trim($_POST['login'])); $password = htmlspecialchars($_POST['password']); $password=stripslashes(trim($_POST['password'])); Вот эта вся фигня не нужна
Да ладно, подожди немного ему скоро надоест или хакнет окончательно и все исправит По теме глянь http://php.ru/manual/pdo.construct.html#113498 http://php.ru/manual/ref.pdo-mysql.connection.html Если ты используешь prepared statement то тебя не взламают. Ищи где ты пропустил... а возможно ошибка где то в другом месте.
Что то я не совсем понимаю в чем юмор вот этого вот: Код (PHP): $id = htmlspecialchars($_POST['id']); $id =stripslashes(trim($_POST['id'])); Добавлено спустя 14 минут 39 секунд: ainur777, тебе не приходило в голову использовать массив для данных пользователя, вот так вот: Код (PHP): $data = array( 'id' => NULL, 'name' => NULL, 'surname' => NULL /* и т.д. */ ); ключи как видишь совпадают с теми что будет в массиве $_POST, а потом сделать просто вот так вот: Код (PHP): foreach($data as $key => $value) { if ($_POST[$key] != '') { $data[$key] = stripslashes( trim( htmlspecialchars($_POST[$key]) ) ); } } и потом крутить этот массив через foreach как за хочешь.
VLK, зачем это всё? Плейсхолдеров более чем достаточно перед добавлением в базу данных, htmlspecialchars нужен перед выводом. ainur777, Вы бы посмотрели, может вам шеллы где заливают? SQL-инъекции не являются единственным способом взлома.
я показал только подход укорочения кода, все остальное, пропускание через всякие stripslashes( trim( htmlspecialchars, это взято из кода автара.
Могу сделать, когда приеду, через 2 - 3 дня начну только делать? Оформлю нормально и покажу все в разных стилях? М? Это не имеет значения, ты должен был ему дать нормальный пример или совет. А ты дал херню. Для работы со строкой для записи в базу нужно использовать экранирование А также для числовых данных, воспользоваться приведением к типу: (int), (double) <-> (float) манипуляции с типами. А при выводе из базы также делать уже обработку и то которая может даже не потребоваться в некоторых случаях. Можно обезопасить html от <script> и других ресурсов, а так тут думаю и не потребуется больше ничего обрабатывать. Разные задачи бывают, по этому тут как бы нужно гибкую функцию делать. Просто подумай, для каких целей у тебя поля в таблице по ним и сделай свой модуль.