/
  • SQL injection

  • صفحه‌ها (2):
  • ارسال پاسخ   امتیاز موضوع:
    • 2 رأی - میانگین امیتازات: 4.5
    • 1
    • 2
    • 3
    • 4
    • 5

    حالت موضوعی | حالت خطی SQL injection
    نویسنده پیام
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #1
    SQL injection
    سلام ما وقتی از یه سری توابع برای جلوگیری از تزریق در برناممون استفاده میکنیم چه جوری میشه فهمید که درست عمل می کنه یا نه.راستش من خیلی جستجو کردم ولی نمیدونم چه جوری باید این موارد رو تست کرد
    __________________________________________________________________________
    welcome to the club
    (آخرین ویرایش در این ارسال: ۱۳۸۷ بهمن ۲۷ ۰۴:۱۲ عصر، توسط Y.P.Y.)
    ۱۳۸۷ دي ۷ ۰۱:۰۰ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    Na3r آفلاین
    ناصر خلقی
    *****

    ارسال‌ها: 412
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 11
    تشکرها : 257
    ( 576 تشکر در 308 ارسال )
    ارسال: #2
    RE: sql injection
    تو این لینک کامل در مورد حملات sql injection توضیح داده

    http://www.unixwiz.net/techtips/sql-injection.html

    راه جلوگیریشم استفاده از همون توابعی هست که میگی
    http://ir.php.net/manual/en/function.mys...string.php

    فقط این دستور یه باگ داره که باید چک کنی ببینی که magic_quotes_gpc مقدارش on هست یا نه که با استفاده از این تابع اون مشکل هم حل میشه

    کد PHP:
    <?php
    function stripMagicQuotes($var){
        if(
    get_magic_quotes_gpc()){
            return 
    stripslashes($var);
        }else{
            return 
    $var;
        }
    }
    ?>
    ۱۳۸۷ دي ۷ ۰۲:۰۴ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : Alimokhlesi scooter molana HiddeN
    amir.s آفلاین
    عضو
    ***

    ارسال‌ها: 145
    تاریخ عضویت: ۱۳۸۷ دي ۱
    اعتبار: 3
    تشکرها : 453
    ( 186 تشکر در 99 ارسال )
    ارسال: #3
    RE: sql injection
    سلام

    این توابع تست شدست . اما اگه دوست دارید که سایت رو از نظر امنیتی چک کنید، می تونید از اسکنر های سایت استفاده کنید.

    نرم افزارهای زیادی دراین مورد وجود داره که باید جستجو کنی . یکی رو تهیه کن و برنامه رو با اون از لحاظ امنیت به ویژه SQL Injection بررسی کن ! Blush

    اما راه حل دیگه ای هم وجود داره . من کلیات رو میگم و شما به جزئیات بپرداز .
    شما در زمنیه امنیت و راه های نفوذ تحقیق کن . در برابر تمام این روش ها می تونید به راه های مبارزه با اون دست پیدا کنید . اصولا با قواعد خاصی انجام میشه . مثلا همین SQL Injection رو نگاه کن راه جلوگیری ازش با " \ " انجام میشه . خوب به سادگی میتونی تابع رو تست کنی و یا حتی خود سایت رو ....
    ۱۳۸۷ دي ۸ ۰۳:۳۵ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #4
    RE: sql injection
    الان من اینو استفاده کردم اما وقتی مثلا می نویسم d'd این ارور رو میده
    نقل قول: no qusYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'f','f','5457','s','1','

    f
    ')' at line 1
    __________________________________________________________________________
    welcome to the club
    ۱۳۸۷ بهمن ۲۷ ۰۴:۰۷ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    Na3r آفلاین
    ناصر خلقی
    *****

    ارسال‌ها: 412
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 11
    تشکرها : 257
    ( 576 تشکر در 308 ارسال )
    ارسال: #5
    RE: sql injection
    كوئري كه نوشتي رو بزار بببينيم
    ۱۳۸۷ بهمن ۲۷ ۱۱:۰۲ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #6
    RE: SQL injection
    کد PHP:
    $sql="INSERT INTO up(filename,filework,fileadd,address,fileos,filecomm) values ('$uname','$uwork','$newname','$ulname','$uos','$uall')" ;
    $result=mysql_query($sql) or die ("no qus".mysql_error()); 
    __________________________________________________________________________
    welcome to the club
    ۱۳۸۷ بهمن ۲۸ ۰۱:۴۹ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    molana آفلاین
    چالیست - chalist
    *******

    ارسال‌ها: 1,764
    تاریخ عضویت: ۱۳۸۷ آذر ۳۰
    اعتبار: 60
    تشکرها : 1644
    ( 1550 تشکر در 1015 ارسال )
    ارسال: #7
    RE: SQL injection
    خوب ننوشتی که کجا این آپدیت انجام بشه
    کد PHP:
        $sql="INSERT INTO up(
                            filename,
                            filework,
                            fileadd,
                            address,
                            fileos,
                            filecomm
                    ) values (
                            '
    $uname',
                            '
    $uwork',
                            '
    $newname',
                            '
    $ulname',
                            '
    $uos',
                            '
    $uall') 
                    WHERE `id` =1 " 

    __________________________________________________________________________
    همه جوره اش رو داریم ظاهرن
    ۱۳۸۷ بهمن ۲۸ ۰۲:۰۲ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط :
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #8
    RE: SQL injection
    ببخشید من متوجه این where نمیشم.یعنی اگه id=1 نبود تکلیف چیه؟
    __________________________________________________________________________
    welcome to the club
    ۱۳۸۷ بهمن ۲۸ ۰۸:۱۲ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    molana آفلاین
    چالیست - chalist
    *******

    ارسال‌ها: 1,764
    تاریخ عضویت: ۱۳۸۷ آذر ۳۰
    اعتبار: 60
    تشکرها : 1644
    ( 1550 تشکر در 1015 ارسال )
    ارسال: #9
    RE: SQL injection
    نه ببین
    شما آی دی رو برابر با آی دی اون ردیفی که می خوای آپدیتش کنی قرار می دی
    __________________________________________________________________________
    همه جوره اش رو داریم ظاهرن
    ۱۳۸۷ بهمن ۲۸ ۰۸:۱۴ عصر
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط :
    scooter آفلاین
    عضو مهم
    ****

    ارسال‌ها: 391
    تاریخ عضویت: ۱۳۸۷ دي ۳
    اعتبار: 3
    تشکرها : 239
    ( 54 تشکر در 42 ارسال )
    ارسال: #10
    RE: SQL injection
    بازم من متوجه نشدم.من از کجا بدونم الان id اون ردیف چنده؟
    __________________________________________________________________________
    welcome to the club
    ۱۳۸۷ بهمن ۲۹ ۰۲:۳۱ صبح
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط :
    « قدیمی تر | تازه‌ تر »

  • صفحه‌ها (2):
  • ارسال پاسخ
    پرش به انجمن:


    کاربرانِ درحال بازدید از این موضوع: 1 مهمان
    IranPHP.org | تماس با ما | بازگشت به بالا | بازگشت به محتوا | بایگانی | پیوند سایتی RSS