Olá,
tenho um site em php que guarda informações num banco de dados MySql. Coloquei funções para validar todos os imputs vindos dos formulário (POST) e também validei o número do usuário que fica guardado em um cookie.
O meu código checa se o valor do cookie é um número de 10 dígitos e se o usuário existe. Só então ele escreve os dados no MySql. No entanto, tenho tido problemas com um usuário que tem conseguido alterar o valor do cookie e escrever números de até 20 dígitos na tabela.
Alguém poderia me dar uma orientação sobre como ele pode estar fazendo isso? Quando eu testo o código aqui tudo funciona e não consigo passar com nenhum comando MySql (INSERT, DELETE, etc) pela validação. Também não consigo alterar o meu cookie e passar com números maiores de 10 dígitos. Então, como essa pessoa consegue passar pela validação e inserir esses dados direto na minha tabela??? Eu li alguma coisa sobre Cross Script usando javascript... o usuário poderia estar enviando os comandos através da URL? Se for, como eu posso evitar isso?
Obrigado,
Marcelo
Sql Injection? Cross Site Scripting?
Started By marsil, 10/03/2006, 23:26
1 reply to this topic
#2
Felipe Pena
-
- Ex-Admins
-
- 6441 posts
O temor do Senhor é o princípio da sabedoria
- Sexo:Masculino
Posted 12/03/2006, 17:41
Como está a definição do tal campo?
E cookies você sabe, o cliente sempre pode modificar.
E cookies você sabe, o cliente sempre pode modificar.
Felipe Pena
[...] ó terra, terra, terra; ouve a palavra do Senhor. — Jeremias 22:29
[...] ó terra, terra, terra; ouve a palavra do Senhor. — Jeremias 22:29
1 user(s) are reading this topic
0 membro(s), 1 visitante(s) e 0 membros anônimo(s)
