Регистрация, Регистрация с запрещенными символами

Автор STINGER, 2009 Нояб. 07, 10:06

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Ключевые слова [SEO] mu onlineзапрещенные символырегистрация

STINGER

Подскажите, чем страшна возможность зарегистрироваться с запрещенными символами в логине?


Встретил в базе логин `update, ведь на сайте стоит ограничение на кол-во символов.. И написать много не получится)


ПС: Многие утверждают, что хакнуть можно, но не могут обосновать...

KURTIS

Ну если у тебя MuWeb то конечно же
'x' ; бла-бла-бла
или
' UPDATE Character Set бла-бла-бла

STINGER

#2
Цитата: KURTIS от 2009 Нояб. 07, 09:50  Ну если у тебя MuWeb то конечно же
'x' ; бла-бла-бла
или
' UPDATE Character Set бла-бла-бла ^_^

У меня DSW и такой запрос как ' UPDATE Character.... попросту не влезет..

ПС: На логин выделено всего 10 символов...
Получается, что через регистрацию, в данной ситуации взломать никак?

KURTIS

Не знаю может и на DSW есть инджект в регистрации я не игрался с запросами через темпер дату..

netpartizan

#4
ЦитироватьУ меня DSW и такой запрос как ' UPDATE Character.... попросту не влезет..

ПС: На логин выделено всего 10 символов...
Получается, что через регистрацию, в данной ситуации взломать никак?
10 символов ограничение в форме илиже пхп скрипт тоже отметает если больше 10 символов?

Моё имхо, нада фильтровать это)

Zеvs

#5
ЦитироватьУ меня DSW и такой запрос как ' UPDATE Character.... попросту не влезет..

ПС: На логин выделено всего 10 символов...
Получается, что через регистрацию, в данной ситуации взломать никак?
Это Savoy делал скрипт от SQL-Inject с возможностью использования символов. С аккаунтом ничего не сделают, он просто будет в базе валяться.
Но я бы советовал поставить фильтр на символы.

STINGER

Цитата: Zеvs от 2009 Нояб. 07, 13:05  Это Savoy делал скрипт от SQL-Inject с возможностью использования символов. С аккаунтом ничего не сделают, он просто будет в базе валяться.
Но я бы советовал поставить фильтр на символы.
Зевс, спасибо за разьяснения, если я не путаю, то ты работал со криптовкой ДСВ, фильтра не завалялось случаем?))

Rev[]luti0

Цитата: stin от 2009 Нояб. 07, 17:40  Зевс, спасибо за разьяснения, если я не путаю, то ты работал со криптовкой ДСВ, фильтра не завалялось случаем?))
В чём проблема он веть с открытым кодом.

Zеvs

Цитата: stin от 2009 Нояб. 07, 19:40  Зевс, спасибо за разьяснения, если я не путаю, то ты работал со криптовкой ДСВ, фильтра не завалялось случаем?))
В DSW сейчас нету фильтра.
Можно сделать 2 вида фильтров: либо запрет символов и вывод сообщения об ошибке, либо просто фильтровать переменную, чтобы удалялось всё ненужное, и пользователь даже не узнает, что его лишние символы удалились.

Everybody

#9
ЦитироватьПС: На логин выделено всего 10 символов...
Получается, что через регистрацию, в данной ситуации взломать никак?
Если ограничение в шаблоне через maxlength (Максимальное количество символов разрешенных в тексте.) то можно обойти с помощю Mozilla + Firebug [add-on] таким способом регистрировал очень длинные ники на многих разных сайтах/форумах . Но лучше в php ограничить число символов через substr($_POST['login'],0,10) , там уже не прокатит мозилла + фиребуг ))

Zеvs

#10
Есть еще функция strlen() - тоже проверяет длину.
if(strlen($login) > 10){ return false; }
А вот функция, не дающая использовать символы в любых $_POST запросах.

foreach ($_POST as $check) {
if (eregi("[^a-zA-Z0-9]", $check)){ die("Error");}
}
Его можно изменить и под $_GET запросы..

Похожие темы (1)

Сообщений: 1
Просмотров: 2886