Pytanie : MySql wtryskowy kilof

Cześć,
A klient strona internetowa siekać wielokrotnie nad the ostatnich kilka months.
I potrzeba sprawnie the kod dalszy kilof. Móc ono który linia kod potrzebować zmieniać i ono ono?

Thanks

The gospodarz (gospodarz grosz) wysyłać ten e-mail:
Your konto być podatny MySQL zastrzyk. The napastnik być sprawnie strona w twój baza danych pokazywać:
####################
mysql> wybrany pageid, tytuł, shorttext, maintext od tbpages dokąd
mysql> tytuł lubić "PichOfTheLast%";
+--------+---------------------------+-----------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| pageid | tytuł | shorttext | maintext |
+--------+---------------------------+-----------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 44 | PichOfTheLast być Tutaj.! | |
< P align=left> < Href=" http://xat.com/ JustLeaveMeAlone&quot; > < IMG
style=" SZEROKOŚĆ: 520px; WZROST: 360px" height=280 alt=" " hspace=0 src=" http://i42.tinyp ic.com/5mx r1k.gif&quot; width=411 border=0> < /A> < /P> < CENTER> < EMBED
src= http://www.fileden.com /files/2008/8/22/2060529/Prodigy%20-Soundtrack%20Hackers%20-%20Techno%20Rave.mp3
width=0 height=0 type=" audio/mpeg mpga mp2 mp3" autostart=" true" loop=" true" > &lt; /CENTER> |
+--------+---------------------------+-----------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
1 rząd w ustalony (0.00 sec)
####################

We usuwać ten wejście od the database.

You potrzeba użytkownik wkład (the id zmienna na przykład) gdy the napastnik móc mysql kod tak jak the następujący the admin hasło:
####################
http://www.rainbowestatesp ain.com/ma inpage.php? id=040%20union%20select%20all%20null, concat%28username, char%2858%29, password%29, null, null, null, null, null, null, null, null, null, null%20%20%20from%20users%20order%20by%202--;
####################

The napastnik móc wtedy login twój administrator section.

We polecać ty bezpiecznie the kod na ten strona i zmieniać the admin password.



Here być the kod dla the mainpage.php

hp")? >

$id = $_GET ["id"];
$pageid = $id;

$sql = "WYBIÓRKA * OD tbpages DOKĄD pageid=$id";
$result = mysql_query ($sql);
$numrows = mysql_num_rows ($result);

jeżeli ($numrows == (0)) {echo "Błąd"; }

$row = mysql_fetch_array ($result) ;

? >

jeżeli ($row ["belongsto"]! == "(0)") {

$trace [(0)] = $row ["pageid"];
$trace [(1)] = $row ["belongsto"];
$names [(0)] = $row ["tytuł"];
$i = (1);

podczas gdy (($trace [$i]! == (0)) && ($i < 10)) {

$sql = "WYBRANY belongsto, tytułować OD tbpages DOKĄD pageid=". $trace [$i];
$result = mysql_query ($sql);
$row2 = mysql_fetch_array ($result) ;
            
                  $i++;

$trace [$i] = (int) ($row2 ["belongsto"]);
$names [$i-1] = $row2 ["tytuł"];


}

dla ($j = $i; $j >= (0); $j--) {

jeżeli ($j > (0)) {
echo "";
}
echowy $names [$j];
echo "";
jeżeli (($j > (0)) && ($j < $i)) {echo"/"; }

}

$sql = "WYBIÓRKA tytuł, pageid OD tbpages DOKĄD pageid=". $row ["belongsto"];
$result = mysql_query ($sql);
$row2 = mysql_fetch_array ($result) ;


} inny {

echowy $row ["tytuł"];

}
? >

//CONTENT LIST

$sql = "WYBIÓRKA * OD tbpages DOKĄD belongsto=$id ROZKAZ Itemorder";
$result = mysql_query ($sql);
$numrows = mysql_num_rows ($result);
$i = (0);
jeżeli ($numrows > (0)) {echo "Zawartość:
"; }
podczas gdy ($row2 = mysql_fetch_array ($result) ) {

jeżeli (($row2 ["linksto"] == (0)) && ($row2 ["linkstourl"] == "")) {

$pageid = $row2 ["pageid"];
jeżeli ($row2 ["pageid"] < 100) {$pageid = "(0)". $row2 ["pageid"]; }
jeżeli ($row2 ["pageid"] < 10) {$pageid = "00". $row2 ["pageid"]; }

echo "
} elseif ($row2 ["linkstourl"]! == "") {

echo "
} inny {

$pageid = $row2 ["linksto"];
jeżeli ($row2 ["linksto"] < 100) {$pageid = "(0)". $row2 ["linksto"]; }
jeżeli ($row2 ["linksto"] < 10) {$pageid = "00". $row2 ["linksto"]; }
echo "
}

echo" \ "";
jeżeli ($row2 ["linkstonewpage"]) {echo" target= \ "_blank \ ""; }
echo ">". $row2 ["tytuł"]. "";
            
            $i++;
echo "
";

}
jeżeli ($numrows > (0)) {echo "

---

"; }

//PAGE CONTENT
echowy html_entity_decode (str_replace (" ** LOCAL ** ", $glb_uploadspath, $row ["maintext"]));

//MAIN ZADOWOLONY LINKS
$sql = "WYBIÓRKA * OD tbpages DOKĄD belongsto=$id ROZKAZ Itemorder";
$result = mysql_query ($sql);
$numrows = mysql_num_rows ($result);

$i = (0);
jeżeli ($numrows > (0)) {echo "

"; }
podczas gdy ($row2 = mysql_fetch_array ($result) ) {

jeżeli (($row2 ["linksto"] == (0)) && ($row2 ["linkstourl"] == "")) {

$pageid = $row2 ["pageid"];
jeżeli ($row2 ["pageid"] < 100) {$pageid = "(0)". $row2 ["pageid"]; }
jeżeli ($row2 ["pageid"] < 10) {$pageid = "00". $row2 ["pageid"]; }

echo "
} elseif ($row2 ["linkstourl"]! == "") {

echo "
} inny {

$pageid = $row2 ["linksto"];
jeżeli ($row2 ["linksto"] < 100) {$pageid = "(0)". $row2 ["linksto"]; }
jeżeli ($row2 ["linksto"] < 10) {$pageid = "00". $row2 ["linksto"]; }
echo "
}

echo" \ "";
jeżeli ($row2 ["linkstonewpage"]) {echo" target= \ "_blank \ ""; }
echo ">". $row2 ["tytuł"]. "";
            
            $i++;
echo "
";
echowy $row2 ["shorttext"];
jeżeli ($row2 ["shorttext"]! == "") {odbijać się echem "
"; }
echo "
";

}
? >
 

hp"); ? >

Odpowiedź : MySql wtryskowy kilof

Cześć Scott

Jaki antivirus oprogramowanie być ty?  Te objaw czasem powodować proaktywnie skanerowanie the baza danych.

Odnosić sie http://support.microsoft.com/kb/827615 dla ogólny informacja.  Ty potrzebować produkt dokumentacja dla odmianowy instrukcja, w zależności od twój AV produkt.