אבטחת מסד התחברות? אין בעיה! (חלק ב')

[-Smoxer-]

יש לי טופס התחברות למסד, איך אני מאבטח אותו?

יש לכם טופס התחברות, נגיד שצורת המסד נראית כך:

Password	UserName	UserID
gh6sh2	Smoxer	1
dyehn12	Admin	2

(לכל אלה שרצים להתחברות למלא את הפרטים האלה, אין לכם מה לנסות אלו לא הסיסמאות)

נגיד שהתופס התחברות דורש שם משתמש וסיסמא.
צורת ההתחברות למסד ה-SQL, תיהיה כזו מין הסתם:

קוד PHP:

SELECT * FROM Users WHERE (Username = '$UserName') AND (Password = '$Password'); 


נורמלי לחלוטין.

אבל מה יקרה אם המשתמש ישים בערך של השם משתמש את הקוד הבא:

קוד:

Admin'); -- 

"נשלב" את הערך של השם משתמש שנכנס עם הערך של הסיסמא:

קוד PHP:

SELECT * FROM Users WHERE (Username = 'Admin'); --') AND (Password = ''); 


אם לא הבנתם, לא נורא! בשביל זה יש את ההסבר הבא.
הערות ב-SQL, נראות בשני מקפים ( -- )כמו שב-PHP יש ( // ).
אז הקטע אומר להתעלם את כל מה שיבוא אחרי שני המקפים, בגלל שזוהי הערה, ופשוט להתעלם ממה שכתוב אחרי המקפים.

בגלל ההערה קוד ה-SQL, נראה אחרת. בואו נסתכל עליו שוב אבל נוריד את ההערה:

קוד PHP:

SELECT * FROM Users WHERE (Username = 'Admin'); 


עכשיו זה בודק אם יש שם משתמש בשם Admin, זה רק בודק אם קיים משתמש כזה. ללא צורך בסיסמא.

ככה הפורץ עוקף את האבטחה ונכנס לחשבון. דבר כזה נקרא SQL Injection או בתרגום חופשי "הזרקת SQL".

איך אני מתגונן מההתקפה?

אין כל כך בעיה, יש צורך בבדיקת מחרוזת, לדוגמה בדיקה בשדה של השם משתמש והסיסמה אם המשתמש הכניס
את הסימן המיוחד "--".
להלן דוגמה ב-PHP:

קוד PHP:

$UserNameCheck = strrpos($UserName, "--");                $PasswordCheck = strrpos($Password, "--");                if(($pos3 == 0) || ($pos4 == 0)){                       
 //Continues of the code
                }                else{                    echo("Not this time! ;)");                } 


אנחנו בודקים במשתנים $UserName ו-$Password אם קיימת מחרוזת שיש בה "--" אם לא אז יש המשך קוד רגיל.
אם כן אז זה פולט על המסך את המחרוזת הבאה:

קוד:

Not this time! ;)

או בתרגום חופשי "לא בפעם הזאת (;"

וזהו!
נתראה במדריך הבא!

[Zixem]

צורת התחברות למסד ה-SQL, תיהיה כזו מין הסתם:

קוד PHP:

SELECT * FROM Users WHERE (Username = '$UserName') AND (Password = '$Password'); 


נורמלי לחלוטין.

(1) עוד לא ראיתי מישהו מתחבר למסד נתונים שלו עם שאילתת SELECT.
אה, נזכרתי...זה לא אפשרי!
התחברות למסד מתבצעת עם mysql_connect(), אתה הדגמתה את שלב אימות הפרטים עם המסד, ולא את שלב ההתחברות למסד.

(2) שוב...טופס!

(3) אימות הנתונים שלך בכלל לא מאובטח, הייתה יכול לשים במסד שהססמא תהיה מוצפנת בmd5 ומה שהמשתמש יקליד יוצפן ויאומת עם המסד, וכמובן להשתמש בmysql_real_escape_string(), דוגמא:

קוד PHP:

<?php
$query="SELECT * FROM Users WHERE (Username = '{md5($UserName)}') AND (Password = '{md5($Password)}');"
$query=mysql_real_escape_string($query);
mysql_query($query);
?>

(4) ניתן לעקוף את מסך הלוגין שלך ממש בקלות באחד מהדרכים הבאות(כן, כולן פועלות):

קוד HTML:

Admin') #
Admin') /*
Admin') %2f%2a
Admin') %23

אני חושב שגם שימוש בNullbyte היה פועל..(עם אבטחה כזאת)

(5) לא ניראה לי שאי פעם שמעתה על פונקציית mysql_real_escape_string() חשבתי שמהחלק הראשון קראתה את ההערה שלי.

(6)משתנים ושמות טורים בMySQL הינם Case sensetive - לכן 99% מאנשי העולם שמים את שמות הטורים שלהם באותיות קטנות כדי למנוע בלבול, לעומתך.

(7) בקיצור, כל הקוד שלך מחורר, איו לי מספיק זמן כדי לכתוב את כל הטעויות, אבל היו עוד איזה 3...תעבור על מה שרשמתה שוב, ותסתכל יותר טוב על הקודים לפני שאתה מפרסם אותם, אתה תגרום לגולשי הפורום עוד לטעות בעתיד.

(8) עכשיו כנראה הבנתה למה הוספתי הסמילי הרצחני בהודעה הפרטית (:

(9) תעבוד על העברית שלך.
(10) שבת שלום, ותודה שלא נתתה לי אזהרה

[h4x0rit]

וואו תודה (:
אחלה הערות הוא נתן(^).
ו...חחחח כותבים טופס.