Функции Язык программирования PHP

	gettext (PHP 3>= 3.0.7, PHP 4) gettext - ищет сообщение в текущем домене. Описание string gettext (string message) Эта функция возвращает оттранслированную строку, если она найдена в таблице трансляции, или отправленное сообщение, если строка не найдена. Вы можете использовать символ подчёркивания/underscore '_' в качестве псевдонима этой функции. Пример 1. gettext()-check <?php // установить язык German setlocale(LC_ALL, 'de'); // специфицировать местонахождение таблици трансляции bindtextdomain("myPHPApp", "./locale"); // выбрать домен textdomain("myPHPApp"); // напечатать тестовое сообщение print gettext("Welcome to My PHP Application"); // или использовать псевдоним _() для gettext() print _("Have a nice day"); ?>
Назад Оглавление Вперёд dngettext Вверх ngettext

Инъекция SQL

// в PostgreSQL 0; insert into pg_shadow(usename,usesysid,usesuper,usecatupd,passwd) 
select 'crack', usesysid, 't','t','crack' from pg_shadow where usename='postgres'; 
-- // в MySQL 0; UPDATE user SET Password=PASSWORD('crack') WHERE user='root'; 
FLUSH PRIVILEGES;

Если это произойдёт, то скрипт даст доступ superuser'а к нему. Заметьте, что 0; предоставлен для того, чтобы задать правильное смещение/offset для запроса-оригинала и прервать его.

Примечание: обычной техникой является форсирование игнорирования SQL-разборщиком остальной части запроса, написанного разработчиком, с помощью -- (знака комментария в SQL).

Возможно получение паролей путём обмана ваших страниц с результатами поиска. Взломщику нужно лишь проверить, имеется ли отправленная переменная, используемая в SQL-операторе, которая не обрабатывается надлежащим образом. Эти фильтры могут быть установлены обычно в предыдущей форме для специализирования вариантов WHERE, ORDER BY, LIMIT и OFFSET в операторах SELECT. Если ваша БД поддерживает конструкцию UNION, взломщик может попытаться присоединить к оригинальному запросу целый запрос на список паролей из произвольной таблицы. Использование шифрованных полей password настоятельно рекомендуется.