SQL Injection

Status
Niet open voor verdere reacties.

diPod

Nieuwe gebruiker
Lid geworden
18 aug 2008
Berichten
1
Ok , het is dus zo dat ik en een paar vrienden een soort van game server hosten en een daarbij horende home/account pagina waar mensen zich dan kunnen registreren etc.

Nu hebben we de laatste tijd problemen met het feit dat andere mensen onze homepage naar beneden halen , ook geraken ze in het manager panel waardoor ze in de database vanalles verwijderen, in kort ze maken er gewoon een troep van.

Na een beetje opzoek werk te doen ben ik te weten gekomen dat je mysql escape strings (no idea wat het is :P) aan de source kan toevoegen en zo grotendeels het probleem kan beperken.

De code zou er ongeveer als volgt moeten uitzien;

PHP:
<?php 
function quote_smart($value) 
{ 
if (get_magic_quotes_gpc()) { 
$value = stripslashes($value); 
} 
if (!is_numeric($value)) { 
$value = "'" . mysql_real_escape_string($value) . "'"; 
} 
return $value; 
} 
?>

Nu is de vraag hoe en waar moet ik deze code aan toevoegen? Misschien kan iemand me helpen.

Dan nog even een andere vraag, ik heb ook gehoord dat je ergens een code kunt invoegen zodat alleen de hoster acces heeft tot de manager.php pagina met behulp van de 127.0.0.1 ip fzoiets.

Anyway ik hoop dat iemand mij verder kan helpen.

Alvast bedankt.

~
 
Aan alle queries waarmee je gegevens wijzigt of toevoegt zul je die functie moeten gebruiken.
 
Weet niet of het nog van toepassing is:

Magic quotes moet sowieso uit staan. Als die bij je host aanstaat moet je echt van host veranderen.

Verder hoef je er helemaal geen functie omheen te bouwen, je kunt het gewoon in je query zetten. Echter; als je managerpaneel gewoon een php-pagina is, is de kans klein dat dat verholpen wordt door deze functie toe te voegen.
 
Status
Niet open voor verdere reacties.

Nieuwste berichten

Terug
Bovenaan Onderaan