sqlتزریق

[hmsn]

سلام خدمت همه دوستای خوبم تویه pt
من می خواستم که اگه بشه یه مقدار اطلاعات درباره این روش بدست بیارم(تزریق sql) :happy: حالا از دوستان اگه کسی اطلاعاتی داره ا مقاله دار یا هر چیزی اینجا بذاره:blush:
ممنون از همه

 

[hba]

منظورت sql inject هست نه
ببین چیز خاصی نیست معمولا با استفاده از دادن ' میشود اطلاعات رو با or اضافه داد بیشتر از دستور های شبیه union استفاده میشه
در صورت خوب دونستن دستورات دستورات sql هست حتی باش فایل هم میشه Terminate کرد روی هاست

 

[firebird]

فرض كن چنين query داري :

"INSERT INTO students (name) VALUES ('$_POST[student_name]')"

كاربر در ورودي فرم student_name اينو وارد ميكنه :

x'); DELETE FROM students; INSERT INTO students (table_name) VALUES ('y.

نتيجتاً query اول ميشه اين :

INSERT INTO students (name) VALUES ('x'); DELETE FROM students; INSERT INTO students (name) VALUES ('y')

بقيه اش ديگه مشخص هست

 

[hmsn]

ببخشید آقا حامد من منظورتون رو از Terminate نفهمیدم اگه می شه یکم بیشتر بگین
از شماهم ممنون اقای firebird

 

[hba]

گفتم باید دستورات sql رو خوب بدونی دستوری به نام terminate که مقدار رو میدیم و INTO OUTFILE 'shell.php'
که مقدار رو میریزه توی فایل

 

[hmsn]

آهااااا
بازم ممنون

 

[peiman]

روش جلوگیریش چیه؟
همون htmlspecialchars کافیه؟

 

[hba]

نه یه فانکشن بنویس که ' " ; > < / \ رو برداره از روی ارسال

 

[Shahed]

نه یه فانکشن بنویس که ' " ; > < / \ رو برداره از روی ارسال

خوب tmlspecialchars مگه برای همین کار نیست؟

 

[firebird]

راههاي مختلفي هست يكي از اين راهها mysql_real_escape_string هست

 

[hmsn]

بچه ها بایه سرچ کوچولو تویه گوگل چند تا مقاله تووپ پیدا کردم اگه می خواید ببینید
http://www.academist.ir/?p=549#comment-3733
http://www.ircert.com/articles/WebAttack3.htm

 

[hmsn]

اینم 4تا راه برای مقابله که اینجا گفته
۱- محدود کردن سطح دسترسی کاربری که با آن اطلاعات وب را برای کاربر از بانک اطلاعاتی استخراج مینماید، بدین منظور بهتر است به چنین نام کاربری، تنها سطح دسترسی SELECT و INSERT برای جداولی که به چنین سطح اجرای دستوراتی نیاز دارند داده شود.
۲- با استفاده از دستور Replace مقادیر مربوط به کوتیشن ‘ را پیش از ارسال مقادیر دریافت شده از طرف کاربر بر روی سرور، از جملات مربوطه حذف نماییم.
۳- کلمات کلیدی و معنادار برای SQL مانند: Drop, Delete, Update و – را از ورودی های دریافت شده از کاربر حذف نماییم.
۴- طول پارامتر ورودی توسط کاربر را محدود نماییم.

 

[hmsn]

حالا یه سوال دیگه
مثلا من می خوام از این روش اتوماسیون دانشگاهمون رو هک کنم بعد اونا می تونن منو پیدا کنن؟
آخه یه بندا خدایی می گفت این sql ها(sql200 ) یه استمپ برا هر کاری که می شه می زنه و مشخص می کنه کی بود !
حالا این درسته ؟

 

[peiman]

اینم 4تا راه برای مقابله که اینجا گفته
۱- محدود کردن سطح دسترسی کاربری که با آن اطلاعات وب را برای کاربر از بانک اطلاعاتی استخراج مینماید، بدین منظور بهتر است به چنین نام کاربری، تنها سطح دسترسی SELECT و INSERT برای جداولی که به چنین سطح اجرای دستوراتی نیاز دارند داده شود.
۲- با استفاده از دستور Replace مقادیر مربوط به کوتیشن ‘ را پیش از ارسال مقادیر دریافت شده از طرف کاربر بر روی سرور، از جملات مربوطه حذف نماییم.
۳- کلمات کلیدی و معنادار برای SQL مانند: Drop, Delete, Update و – را از ورودی های دریافت شده از کاربر حذف نماییم.
۴- طول پارامتر ورودی توسط کاربر را محدود نماییم.

آخه اینا که میگی همه ممکنه مشکل ساز بشن!!
ممکنه لازم باشه یوزر تو مثلا ادیتور کامنت از یه کلمه مثلا delet استفاده کنه!!
راه استانداردی نداره؟!

 

[hmsn]

سلام دوستا اگه می شه
با فکر همین تزریق یه نگاهی بندازین ببنید یه راهی هست یا نه
http://sess.shirazu.ac.ir/sess/login.aspx
حتما همون اول نمی خوام برم به جای ادمین بشینم فقط یه کم

 

[miladmovie]

بچه ها بایه سرچ کوچولو تویه گوگل چند تا مقاله تووپ پیدا کردم اگه می خواید ببینید
http://www.academist.ir/?p=549#comment-3733
http://www.ircert.com/articles/WebAttack3.htm

خوشحالم که سر به راهش شدی
گوگل خوبه !

 

[Mehdi]

تااونجا که من میدونم مای اسکیوال خودش این کاراکترهای خطرناک رو تبدیل میکنه !
ندیدم تو مای اسکیو ال اینجکشن صورت بگیره .
درضمن برا دیلت و نمیدونم اینسرت و این کارا فکر نمیکنید لازم باشه که اسم فیلد ها و تیبل ها لازمه ؟
این مبحث خیلی خیلی قدیمی شده , یکی از دوستام هم یه پی دی اف حرفه ای دراین مورد نوشته بود , نمیدونم کجا گزاشتم , اگه پیدا کردم میزارم

 

[hba]

چرا توی php هم میشه فیلتر نمی کنه
ندیدی باگ های sql inject روی phpbb-mybb فراووننه

 

[miladmovie]

تااونجا که من میدونم مای اسکیوال خودش این کاراکترهای خطرناک رو تبدیل میکنه !
ندیدم تو مای اسکیو ال اینجکشن صورت بگیره .
درضمن برا دیلت و نمیدونم اینسرت و این کارا فکر نمیکنید لازم باشه که اسم فیلد ها و تیبل ها لازمه ؟
این مبحث خیلی خیلی قدیمی شده , یکی از دوستام هم یه پی دی اف حرفه ای دراین مورد نوشته بود , نمیدونم کجا گزاشتم , اگه پیدا کردم میزارم

من هم به هوای اینکه خودش اینکار می کنه کنترلی روش نکردم !‌ سیستم پکید یعنی هک شد
از اون موقع به بعد عادت کردم خودم کارش رو انجام بدم نه اینکه از بقیه برنامه های انتظار داشته باشم

 

[damavandieh]

سلام

یک سری منبع خوب اینجا هست برایSQL Injection:

http://www.shamseweb.com/maghaleh.htm