
http://www.viruswoman.com/us/index.php
Moderator: Moridin
Ако някой се интересува, ето пълните настройки на сървъра:roam's console wrote:Script started on Fri Jun 13 23:08:38 2008
Setting up interactive shell params..
[roam@straylight ~]$ mysql
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 38
Server version: 5.0.51a FreeBSD port: mysql-server-5.0.51a
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
Аааа-ха. Значи ако има акаунт "testowa", той има право да си играе с две от базите. Я да видим имаме ли изобщо такъв акаунт? (в спойлер, че редът със заглавието е малко дългичък)The MySQL server wrote:mysql> SHOW GRANTS FOR 'testowa'@'%';
+-------------------------------------------------------------------------------------------------------------------------------------------------+
| Grants for testowa@% |
+-------------------------------------------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'testowa'@'%' IDENTIFIED BY PASSWORD '18a2f9611fa3f604' |
| GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, REFERENCES, INDEX, ALTER, CREATE TEMPORARY TABLES, LOCK TABLES ON `vily`.* TO 'testowa'@'%' |
+-------------------------------------------------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
"Aaaaand now, ladies and gentlemen, the moment you've all been waiting for!" В таблицата mysql.user има ред, в който User = "testowa", и за този ред изразът Host = "%" има стойност 1, демек верно, истина ти казвам! И тогава...The MySQL server wrote:mysql> SELECT Host, User FROM mysql.user WHERE User = 'testowa';
+------+---------+
| Host | User |
+------+---------+
| % | testowa |
+------+---------+
1 row in set (0.00 sec)
mysql> SELECT Host = '%', User FROM mysql.user WHERE User = 'testowa';
+------------+---------+
| Host = '%' | User |
+------------+---------+
| 1 | testowa |
+------------+---------+
1 row in set (0.00 sec)
The MySQL server wrote:mysql> SELECT Host = '%', User FROM mysql.user WHERE User = 'testowa' AND Host = '%';
Empty set (0.00 sec)
The MySQL server wrote:mysql> SET PASSWORD FOR 'testowa'@'%' = PASSWORD('foo');
ERROR 1133 (42000): Can't find any matching row in the user table
Code: Select all
for (i = 0; i < wrapcnt; i++)
if (...)
break;
if (i == wrapcnt)
err(...);
...
...
for (i = 0; i < wrap[i].argcnt; i++)
nargv[i + 1] = wrap[i].args[i];
Изкушавам се да напиша като коментар TRUNCATE TABLE book_comments;.ERROR:
SQL: SELECT COUNT(*) AS cnt FROM book_comments WHERE name = 'Daniel' AND city = 'София' AND email = '' AND comment = 'Не знам Бароу дали обича константата на финната структутра или просто и го казва за да я вкара в кревата, но цикли основно за нея през цялата книга. Както и за антропния прицип. Интересна е несъмнено, но като цяло новата информация в нея е малко, но е по-сложна от entry level книга. Цели се в някаква много странна ниша от читатели.' AND errors = '
допуска се само текст на кирилица!' AND dateposted = '2008-06-18' AND bid = '1086' AND approved = 'Y'
Unknown column 'errors' in 'where clause'
А моя емпиричен показва, че сайтове които връщат като грешка части от SQL заявките си, обикновенно не са много добре защитени и от SQL injection. Да двете нямат нищо общо, но ... . Пък и става дума за бард ...Roamer wrote:Е, сега, това не ми прилича на SQL injectionПо-скоро е просто неправилно протекъл процес на обновяване на работещо приложение - "дай новия сорс... мдам, дай новия сорс... мдам, и тука новия сорс... ааааа, ма то и промени в базата ли имало?! Уф, добре че са тия клиенти, че да ни подсетят!"
(мдам, усмивката е крива, защото горното е донякъде от личен опит)
Code: Select all
if (блахблах > нещоси) {
направи нещо
} else {
направи същото нещо от if частта
}
Е не е готино. Виж ако беше if(true) :0thunder wrote:Термита да постне какво е открил в проекта си днес
inspire-нат от него аз се поразрових из нашия днес и на 4 места открих код от вида:
при един от случаите имаше коментар: "do not use else if in this method if you value your life"Code: Select all
if (блахблах > нещоси) { направи нещо } else { направи същото нещо от if частта }
Users browsing this forum: No registered users and 2 guests