elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  reproducir vulnerabilidad inyeccion sql en php
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: reproducir vulnerabilidad inyeccion sql en php  (Leído 3,823 veces)
Erfiug

Desconectado Desconectado

Mensajes: 44



Ver Perfil
reproducir vulnerabilidad inyeccion sql en php
« en: 17 Mayo 2011, 18:32 pm »

Hola,

Estoy intentando reproducir en mi maquina una vulnerabilidad sql injection tipica:

Citar
$foo = @$_GET["foo"];
$result = $mysqli->query("SELECT * FROM `table` WHERE `user` = '$foo' ");

El problema es que mysqli o php automaticamente escapa las comillas simples
ej:
Citar
`user` = '\'aaa'

Es normal que haga esto aunque no utilize real_escape_string?


Gracias


EDITO: no es cosa de mysqli sino del GET que parece que utiliza alguna función de filtrado. Es esto lo común? Es el fin de las inyecciones SQL?
« Última modificación: 17 Mayo 2011, 18:35 pm por Erfiug » En línea

luiggy2


Desconectado Desconectado

Mensajes: 439


¡ Hello word ! XD


Ver Perfil
Re: reproducir vulnerabilidad inyeccion sql en php
« Respuesta #1 en: 17 Mayo 2011, 20:06 pm »

Seguramente tu php esté configurado con magic_quotes_gpc=on
Citar
Cita de php.net:
Magic Quotes is a process that automagically escapes incoming data to the PHP script. It's preferred to code with magic quotes off and to instead escape the data at runtime, as needed.

La solución es que para probar desactives esta directiva en el php.ini

Saludos!
En línea

" Las grandes ideas suelen salir la mayoría de veces de grandes estupideces "
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
reproducir VCD sin un DVD..
Multimedia
BADBYTE-K 5 10,831 Último mensaje 25 Diciembre 2003, 20:13 pm
por BADBYTE-K
Reproducir WAV
Programación Visual Basic
yeikos 3 1,788 Último mensaje 31 Mayo 2006, 15:49 pm
por yeikos
Inyeccion sql (mysql) Pasa x alto la inyeccion
Nivel Web
Littl3 3 6,583 Último mensaje 5 Marzo 2009, 22:56 pm
por pedrox@
Fase Alpha lista,tendra vulnerabilidad de inyeccion?
PHP
ZharkD 8 3,166 Último mensaje 31 Mayo 2010, 16:54 pm
por ZharkD
[Pregunta]: ¿Existe una vulnerabilidad de inyección en esta consulta?
Desarrollo Web
Leguim 3 3,090 Último mensaje 12 Diciembre 2020, 20:37 pm
por Danielㅤ
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines