Ik heb het volgende probleem:
Om te testen of de string ' \' '' \\' \\\' " \" "" \\" \\\" ` \` `` \\` \\\` ook goed geinsert wordt in de DB zet ik hem met een _POST in de DB
Ik heb dan ook ' \' '' \\' \\\' " \" "" \\" \\\" ` \` `` \\` \\\` in mijn DB staan.
Doordat ik niet de mogelijkheid heb om de DB te copieren moet ik de DB per regel gaan lezen.
Deze zet ik dan in een tekst-file.
Ik krijg het voor elkaar om deze naar binnen te halen als
' \' '' \\' \\\' " \" "" \\" \\\" ` \` `` \\` \\\` of als \' \\\' \'\' \\\\\' \\\\\\\' \" \\\" \"\" \\\\\" \\\\\\\" ` \\` `` \\\\` \\\\\\` (deze laatste zie ik ook als ik hem _POST in mijn gewone pagina (met magic_quotes_gpc ON)
Om het terug te plaatsen:
Hierna creeer ik later de database met ook de juiste tabel.
Nu doe ik het volgende:
De functie addslashes_html_entity_decode($data):
en komt er op de plaats van description_short
\' \\' \'\' \\\' \\\\' " \" "" \\" \\\" ` \` `` \\` \\\` te staan ipv
' \' '' \\' \\\' " \" "" \\" \\\" ` \` `` \\` \\\`
PS magic_quotes_gpc staat in dit geval op OFF!
Op dit moment wil ik nog even niet denken aan SQL-injection. Ik wil dit scripje gewoon gebruiken om de database (extern gehost dus GEEN EXTERNE AANPASSINGEN MOGELIJK) uit te lezen. Voor het updaten zal ik dan tzt mijn insert pagina updaten om het scripje te draaien
Kan hier iemand mij een hint geven wat ik in ****-naam fout doe, ik ben al bijna een maand aan het klooien
Om te testen of de string ' \' '' \\' \\\' " \" "" \\" \\\" ` \` `` \\` \\\` ook goed geinsert wordt in de DB zet ik hem met een _POST in de DB
Ik heb dan ook ' \' '' \\' \\\' " \" "" \\" \\\" ` \` `` \\` \\\` in mijn DB staan.
Doordat ik niet de mogelijkheid heb om de DB te copieren moet ik de DB per regel gaan lezen.
Deze zet ik dan in een tekst-file.
Ik krijg het voor elkaar om deze naar binnen te halen als
' \' '' \\' \\\' " \" "" \\" \\\" ` \` `` \\` \\\` of als \' \\\' \'\' \\\\\' \\\\\\\' \" \\\" \"\" \\\\\" \\\\\\\" ` \\` `` \\\\` \\\\\\` (deze laatste zie ik ook als ik hem _POST in mijn gewone pagina (met magic_quotes_gpc ON)
Om het terug te plaatsen:
Hierna creeer ik later de database met ook de juiste tabel.
Nu doe ik het volgende:
PHP:
1
| mysql_query("INSERT INTO stock (id , description_text , description_short , pic_name , country_id , price , insert_date) VALUES ( '117' , '"Aardappels' , '".addslashes_html_entity_decode("\' \\\' \'\' \\\\\' \\\\\\\' \" \\\" \"\" \\\\\" \\\\\\\" ` \\` `` \\\\` \\\\\\`")."' , 'pb220001 (small).jpg' , '73' , '1.25' , '1123523548')")or die("Fout bij het maken van de tabel stock: ".mysql_error()); |
De functie addslashes_html_entity_decode($data):
PHP:
1
2
3
4
5
| function addslashes_html_entity_decode($data) { $data = mysql_real_escape_string($data); return $data; } |
en komt er op de plaats van description_short
\' \\' \'\' \\\' \\\\' " \" "" \\" \\\" ` \` `` \\` \\\` te staan ipv
' \' '' \\' \\\' " \" "" \\" \\\" ` \` `` \\` \\\`
PS magic_quotes_gpc staat in dit geval op OFF!
Op dit moment wil ik nog even niet denken aan SQL-injection. Ik wil dit scripje gewoon gebruiken om de database (extern gehost dus GEEN EXTERNE AANPASSINGEN MOGELIJK) uit te lezen. Voor het updaten zal ik dan tzt mijn insert pagina updaten om het scripje te draaien
Kan hier iemand mij een hint geven wat ik in ****-naam fout doe, ik ben al bijna een maand aan het klooien
/u/107051/jeroenmadtrix60.png?f=community)
