Kirjoittaja Aihe: EWN sivusto  (Luettu 62657 kertaa)

0 jäsentä ja 1 Vieras katselee tätä aihetta.

Poissa weatherc

  • Ylläpito
  • *****
  • Viestejä: 9042
Vs: EWN sivusto
« Vastaus #520 : Perjantai, 27.08.2021, 00:40 »
Logrotate käyttöön.
Ja prepared statementit siis käytössä? Ettei vaan $select = "SELECT jotain FROM taulua WHERE id=".$id? Kun toi ihan oikeesti näyttää siltä että toi ylimääränen on tullu käyttäjältä ja sillä yritetään information_schemasta hakee jotain mitä ei pitäisi.

On käytössä ollut iät ja ajat.
Tuo logi-innokas linukka saa näillä ftp-uppauksilla sekä sivuliikenteellä vaan niin järjettömät logit aikaseksi ettei mitään tolkkua.

Näyttää.. Paramterin "$id" ei tosin koskaan pääse tuohon jumittaneeseen kyselyyn asti. Lisäksi sen pitää olla numeerinen että tekisi yhtään mitään.
Jumittaneissa kyselyissä käytettävä asemaid on generoitu ennen noita jumikyselyjä eikä siinä ole tuon parametrin "$id":tä.

Koodia: [Valitse]
filter_input(INPUT_GET, 'id', FILTER_SANITIZE_NUMBER_INT);
Tuohan myös suodattaa kaiken tekstin pois, ja antaa ulos numeron jos id:ssä sellaista on, ei muuta. Pelkällä tekstillä tulee tyhjä vastaus.
test.php?id=blablabla_1234_huhduyd_2344
antaa ulos 12342344
« Viimeksi muokattu: Perjantai, 27.08.2021, 01:27 kirjoittanut weatherc »

Poissa khyron

  • Kiinteä osa Foorumia
  • *****
  • Viestejä: 343
    • Säätila Rauma
Vs: EWN sivusto
« Vastaus #521 : Perjantai, 27.08.2021, 17:42 »
Logrotate käyttöön.
Ja prepared statementit siis käytössä? Ettei vaan $select = "SELECT jotain FROM taulua WHERE id=".$id? Kun toi ihan oikeesti näyttää siltä että toi ylimääränen on tullu käyttäjältä ja sillä yritetään information_schemasta hakee jotain mitä ei pitäisi.

On käytössä ollut iät ja ajat.
Tuo logi-innokas linukka saa näillä ftp-uppauksilla sekä sivuliikenteellä vaan niin järjettömät logit aikaseksi ettei mitään tolkkua.

Näyttää.. Paramterin "$id" ei tosin koskaan pääse tuohon jumittaneeseen kyselyyn asti. Lisäksi sen pitää olla numeerinen että tekisi yhtään mitään.
Jumittaneissa kyselyissä käytettävä asemaid on generoitu ennen noita jumikyselyjä eikä siinä ole tuon parametrin "$id":tä.

Koodia: [Valitse]
filter_input(INPUT_GET, 'id', FILTER_SANITIZE_NUMBER_INT);
Tuohan myös suodattaa kaiken tekstin pois, ja antaa ulos numeron jos id:ssä sellaista on, ei muuta. Pelkällä tekstillä tulee tyhjä vastaus.
test.php?id=blablabla_1234_huhduyd_2344
antaa ulos 12342344

Juu, nimenomaan näyttää, hankala nyt keksiä mitään muutakaan syytä. Mutta toki on mahdollista että olen väärässä. Toivottavasti asia kuitenkin selviää. Mielenkiintosta kuulla mikä ongelma lopuksi oli.