• User Attivo

    Mysql- Cancellazione improvvisa record tabella

    Buongiorno Ragazzi,
    ho un problema con una tabella nel mio db phpmyadmin.
    Premetto che l'ho riscritta piu volte e verificato che che non ci siano query che agiscono su essa:
    Quando popolo la tabella sembra che vada tutto bene, ma dopo un certo tempo non precisato, spariscono dei record e a volte anche tutta la tabella viene droppata e mi ritrovo senza dati nel suo interno. Ho verificato con lo spazio web e mi dice che non ci sono problemi o anomalie rilevate sulla tabella o database, sapete Voi spiegarmi qualcosa? Grazie mille in anticipo.
    PS: il problema e' solo su quella tabella che ha solo campi di tipo varchar e int, tutto qua.


  • User Attivo

    Verifica che il tuo sito non sia vulnerabile a SQL injection; se lo e', potrebbe essere la ragione per cui dati/tabelle scompaiono se qualcuno si sta divertendo a tue spese 🙂
    Qual e' il sito? Cosi' do' un'occhiata, se vuoi.


  • User Attivo

    Uhm ho provato col sito in firma e sono entrato senza username/password in due secondi. E' definitivamente vulnerabile 🙂

    image


  • User Attivo

    Grazie per la risposta!
    Il fatto è che il sito come tanti é illustrativo e c'è bisogno di user e passwd solo per alcune pagine. Oggi ho ricaricato la tabella che ho in backup e in automatico mi sono sparite 2 righe cioè da 3095 a 3093. Ora alle 23 :14 sono 3024. Strano che qualcuno possa interferire in ogni caso posso dire che ho disattivato il mod security , c' entra qualcosa?


  • User Attivo

    @Piterrey said:

    Grazie per la risposta!
    Il fatto è che il sito come tanti é illustrativo e c'è bisogno di user e passwd solo per alcune pagine.

    Ho notato questo, ma intendevo che senza usare username e password sono entrato con un account, quello "GoldenTabs", con una semplice SQL injection.

    Oggi ho ricaricato la tabella che ho in backup e in automatico mi sono sparite 2 righe cioè da 3095 a 3093. Ora alle 23 :14 sono 3024. Strano che qualcuno possa interferire in ogni caso posso dire che ho disattivato il mod security , c' entra qualcosa?

    Ho verificato che c'e' una pagina (quella per cancellare le partite - non scrivo qui il nome ma saprai a cosa mi riferisco) che appunto NON verifica che l'utente sia loggato. Quindi per cancellare delle partite (o tutte) e' sufficiente aprire quella pagina con un ID di partita diverso ad ogni richiesta. Basta un semplice script che cambia l'ID automaticamente e cancelli piu' partite (o tutte le partite) in automatico... E' questa la tabella a cui ti riferivi? Non ho controllato ma potrebbero esserci altri buchi. Se vuoi verificare, posso cancellarti qualche partita da qui cosi' vedi 😄


  • User Attivo

    Ola Sky, scusa ma in sede di backup sito avevo inserito dei file che uso in sede di prova con wamp server e non hanno controllo user e passwd quindi come non detto ora ho messo il controllo e pare che non si stiano verificando piu cancellazioni.
    Inoltre mi faresti luce sul mysql injection e come ovviarlo visto che e' la prima volta che creo applicativi del genere; mi occupo di software che viaggia su reti interne e non sul web per cui non ho bisogno di certi tipi di controllo. Grazie mille comunque.