Szczerze mówiąc to nawet nie wiem o co chodzi. Domyślam się że hasła nie są hashowane, bo wtedy to by im nie robiło z jakich znaków się składają, więc WTF? Jakiś "programista" który to napisał naprawdę musiał zastosować "zmyślne" zabezpieczenie, ze mu ampersand przeszkadza oO
Zapomnieli dopisać, że jeśli w haśle masz znak " należy go poprzedzić znakiem \ tak aby wyszło \" oraz uprzejmie proszą o nie wpisywanie _"; SELECT * FROM admin;_ Gdyż może to narazić system na szkody.
Pytanie do wykopowych guru - parę lat już w tym "webie" robię i nigdy, przesyłając formularze POSTem nie miałem takich problemów - więc wytłumaczcie mi, co do cholery trzeba zrobić i w jakiej technologii, żeby taki właśnie problem powstał?
Komentarze (24)
najlepsze
nie rozumiem :(
Komentarz usunięty przez moderatora
Przykladowe haslo: Ala&Kot
DRRRRRR: Zamiast & wpisz &
Wpisuje:
@Marmite:
wygląda na to, że w czasie dodania hasła do bazy było użyte htmlspecialchars zamiast dodania slashy, a już przy logowaniu i porównywaniu hasła nie
Algorytm na egzaminie też był całkiem ok ...