Регистрация, Регистрация с запрещенными символами

STINGER · 2009 Нояб. 07, 10:06

Подскажите, чем страшна возможность зарегистрироваться с запрещенными символами в логине?

Встретил в базе логин `update, ведь на сайте стоит ограничение на кол-во символов.. И написать много не получится)

ПС: Многие утверждают, что хакнуть можно, но не могут обосновать...

KURTIS · 2009 Нояб. 07, 12:50

Ну если у тебя MuWeb то конечно же
'x' ; бла-бла-бла
или
' UPDATE Character Set бла-бла-бла

STINGER · 2009 Нояб. 07, 13:26

Цитата: KURTIS от 2009 Нояб. 07, 09:50 Ну если у тебя MuWeb то конечно же
'x' ; бла-бла-бла
или
' UPDATE Character Set бла-бла-бла

У меня DSW и такой запрос как ' UPDATE Character.... попросту не влезет..

ПС: На логин выделено всего 10 символов...
Получается, что через регистрацию, в данной ситуации взломать никак?

KURTIS · 2009 Нояб. 07, 13:59

Не знаю может и на DSW есть инджект в регистрации я не игрался с запросами через темпер дату..

netpartizan · 2009 Нояб. 07, 14:44

ЦитироватьУ меня DSW и такой запрос как ' UPDATE Character.... попросту не влезет..

ПС: На логин выделено всего 10 символов...
Получается, что через регистрацию, в данной ситуации взломать никак?

10 символов ограничение в форме илиже пхп скрипт тоже отметает если больше 10 символов?

Моё имхо, нада фильтровать это)

Zеvs · 2009 Нояб. 07, 15:05

ЦитироватьУ меня DSW и такой запрос как ' UPDATE Character.... попросту не влезет..

ПС: На логин выделено всего 10 символов...
Получается, что через регистрацию, в данной ситуации взломать никак?

Это Savoy делал скрипт от SQL-Inject с возможностью использования символов. С аккаунтом ничего не сделают, он просто будет в базе валяться.
Но я бы советовал поставить фильтр на символы.

STINGER · 2009 Нояб. 07, 18:40

Цитата: Zеvs от 2009 Нояб. 07, 13:05 Это Savoy делал скрипт от SQL-Inject с возможностью использования символов. С аккаунтом ничего не сделают, он просто будет в базе валяться.
Но я бы советовал поставить фильтр на символы.

Зевс, спасибо за разьяснения, если я не путаю, то ты работал со криптовкой ДСВ, фильтра не завалялось случаем?))

Rev[]luti0 · 2009 Нояб. 07, 19:48

Цитата: stin от 2009 Нояб. 07, 17:40 Зевс, спасибо за разьяснения, если я не путаю, то ты работал со криптовкой ДСВ, фильтра не завалялось случаем?))

В чём проблема он веть с открытым кодом.

Zеvs · 2009 Нояб. 07, 22:52

Цитата: stin от 2009 Нояб. 07, 19:40 Зевс, спасибо за разьяснения, если я не путаю, то ты работал со криптовкой ДСВ, фильтра не завалялось случаем?))

В DSW сейчас нету фильтра.
Можно сделать 2 вида фильтров: либо запрет символов и вывод сообщения об ошибке, либо просто фильтровать переменную, чтобы удалялось всё ненужное, и пользователь даже не узнает, что его лишние символы удалились.

Everybody · 2009 Нояб. 08, 11:24

ЦитироватьПС: На логин выделено всего 10 символов...
Получается, что через регистрацию, в данной ситуации взломать никак?

Если ограничение в шаблоне через maxlength (Максимальное количество символов разрешенных в тексте.) то можно обойти с помощю Mozilla + Firebug [add-on] таким способом регистрировал очень длинные ники на многих разных сайтах/форумах . Но лучше в php ограничить число символов через substr($_POST['login'],0,10) , там уже не прокатит мозилла + фиребуг ))

Zеvs · 2009 Нояб. 08, 12:00

Есть еще функция strlen() - тоже проверяет длину.

Код Выделить

if(strlen($login) > 10){ return false; }
А вот функция, не дающая использовать символы в любых $_POST запросах.

Код Выделить

foreach ($_POST as $check) {
if (eregi("[^a-zA-Z0-9]", $check)){ die("Error");}
}

Его можно изменить и под $_GET запросы..

x-MU.net форум

Регистрация, Регистрация с запрещенными символами

STINGER

KURTIS

STINGER

KURTIS

netpartizan

Zеvs

STINGER

Rev[]luti0

Zеvs

Everybody

Zеvs

Похожие темы (1)