Kann es sein, dass man die Sonderzeichen nicht nur bei der regi page weg machen muss, sondnern auch bei Ingame Char namen?
Mssql Dienst
-
-
Werbung zur Unterstützung des Forums ( Bitte AddBlocker deaktivieren )
Charname ist schon in SPeil automatisch siehe Offi ^^geht sql den auch aus wenn server an ist und keiner on?Armleuchter;84186 schrieb:
1: Der Befehl ist nicht ';shutdown;-- sondern ;shutdown;-- :)
2: In der Regel wird alles was in die datenbank eingetragen wird,abgefragt!
Also wenn man Ingame in den Caht schreibt müsste es ja auch in den log Datein geschrieben werden und somit auch ausgeführt werden!
Also wenn es an einer Injektion liegt,müssen wir ALLE Wege blockieren,sodass keine Injections ausgeführt wird!!!!
Wel wenn man Ingame in den Chat ;shutdown;-- schreibt wird die ja auch in die DB eingetragen und ausgeführt!!
Nicht, wenn die Logs durch Prozeduren in die Datenbank (noch dazu als varchar value und nicht gleich als ganze Query o.o) eingetragen werden.Und soweit ich weiß gibt es keien Prozedur die den Chat Loggt oOIch habe gerade mal " ;shutdown;-- " Eingegeben, und aktualisiert
Jetzt Kommt :
Unable to connect or select database!
Ja dann heißt die Tabelle Prozedur anders in der Db oO
Edit: bei mir geht ;shutdown;-- nicht oOLuoo;84197 schrieb:
Ja dann heißt die Tabelle Prozedur anders in der Db oO
Edit: bei mir geht ;shutdown;-- nicht oO
Sorry, meinte " ';shutdown;-- " :)Ja bei mir kommt Es sind keine Sonderzeichen erlaubt.Dann Aktualisier, dann is Down.
2 x Gemacht, 2 x Erfolg gehabt (;
/EDIT :
Hier ma Screen :>
Dann Aktualisiert und direkt das :
Soviel zum Thema, an einer SQL Inejction Liegts nicht :DoO
wie könnte man das fixxen?Luoo;84207 schrieb:
oO
wie könnte man das fixxen?
in dem ihr Die Sonderzeichen einfach Nicht erlaubt ^^.Hier mal den Reg Script ^^
Alles anzeigenPHP-Quellcode
- <?php
- ini_set('display_errors', 0);
- $connection = mssql_connect('U035\SQLEXPRESS', 'sa', 'PW'); //Change YOURHOST and YOURPASSWORD
- //
- if(!connection || !mssql_select_db('ACCOUNT_DBF', $connection))
- {
- die('Unable to connect or select database!');
- }
- $checkusername = $_POST['Username'];
- $query = mssql_query("SELECT account FROM ACCOUNT_TBL WHERE account = '$checkusername'");
- $result = mssql_fetch_row($query);
- if(isset($_POST['submit'])){
- if($_POST['Username'] == ""){
- $error = '<font color="red"><b>Please enter a username.</b></font>';
- }
- else if($result[0] == $checkusername){
- $error = '<font color="red"><b>This username already exists. Please choose another one.</b></font>';
- }
- else if($_POST['Password'] == ""){
- $error = '<font color="red"><b>Please enter a password.</b></font>';
- }
- else if($_POST['Password'] != $_POST['Password2']){
- print("Die angegebenen Passwoerter stimmen nicht ueberein.");
- }
- else if (!preg_match("/;_-*~'#§$%&/()=[]}{\^[a-zA-Z0-9];_-*~'#§$%&/()=[]}{\+$/i", trim($_POST['Username'])) || !preg_match("/;_-*~'#§$%&/()=[]}{\^[a-zA-Z0-9];_-*~'#§$%&/()=[]}{\+$/i", trim($_POST['Password']))) {
- print("Es sind keine Sonderzeichen erlaubt.");
- }
- else{
- $userRev = strtolower($userRev);
- $passRev = strtolower($passRev);
- $password = md5('kikugalanet' . $_POST['Password']);
- $stmt = mssql_init('webCreateAcc', $connection);
- mssql_bind($stmt, '@account', $checkusername, SQLVARCHAR, false, false, 15);
- mssql_bind($stmt, '@password', $password, SQLVARCHAR, false, false, 36);
- mssql_bind($stmt, '@birthday', $checkusername, SQLVARCHAR, false, false, 120);
- mssql_bind($stmt, '@email', $checkusername, SQLVARCHAR, false, false, 120);
- mssql_execute($stmt) or die ("Could not complete the registration. Please try again.");
- mssql_free_statement($stmt);
- $error = '<font color="green"><b>Registration complete!</b></font>';
- }
- }
- echo '<form action="index.php" method="post">';
- echo 'Account: <input type="text" name="Username" /><br /><br />';
- echo 'Passwort: <input type="password" name="Password" /><br /><br />';
- echo 'Passwort wiederholen: <input type="password" name="Password2" /><br /><br />';
- echo 'Geburtsdatum: <input type="text" name="birthday" /><br /><br />';
- echo 'E-mail Adresse: <input type="text" name="mail" /><br />';
- echo '<input type="submit" name="submit" value="Registrieren" />';
- echo '</form>';
- echo $error;
- ?>
Armleuchter;84210 schrieb:
ja,wir benutzen ja das Script von Loqii,und in der Realese steht das es keine Sonderzeichen erlaubt!!
Probiert mal das Hier :
[Release] Flyff Register Script - RaGEZONE - MMORPG server development forumsDas ist für MySql-
Teilen
-
Benutzer online 2
2 Besucher