i'm one one
איך חוסמים שלא יהיה SQL INJECTION באתר שלי?
i'm one one
נערך לאחרונה על ידי DarkCrystal; 04-04-2012 בשעה 11:21.
------------------------------------------------------------------
כל מה שאתם רק רוצים, www.DBrod.99k.org .
בניית אתרים, עריכה, גרפיקה - מחירים נמוכים, איכויות גבוהות.
|
|
SQL INJECT זה יותר מתעסק בקבצים תחסום בכתובת ותתפלל לטוב או שתיקח מתכנת מקצועי ותשלם לו הרבה והוא יחסום הכל
וואו כמה בולשיט במשפט אחדנכתב במקור על ידי Kadosh_
אנשים אתם כבר סוטים לקטעים של תכנות לכו לפורום שפות צד שרת יעזרו לכם הרבה יותר
זה שsql ing זה פריצה לא אומר שזה המקום שיסבירו לכם איך מאבטחים את האתר שלכם
יש הרבה דברים לחסום\לשנות
מה שנכון צריך לעשות בדיקות צד שרת בערך ה GET (כי הוא מקבל דרך method get)
אתה צריך לעשות בדיקות ותנאים שנגיד רק דברים מסוג INT נכנסים
gallery.php?id=3
אם נגיד יהיה ככה
gallery.php?id=3' אז זה במקום שזה יציג את שגיאת ה SQL שהשרת מחזיר ללקוח, אז זה יעשה דבר אחר כמו העברה לעמוד ראשי וכו
+ יש עוד מלא דברים
אני מצרף קובץ מהאתר underwarrior שמסביר על SQL INJ דרכי התקפה והתמודדות.
תסתכל בסוף הקובץ תראה איך צריך לאבטח. מאמר מעולה של ניר אדר.
אין לי 20 הודעות אז לא נותנים לי לפרסם קישור(כנראה נגד ספאמרים למטרות רווח אישי) אז כנס לאתר underwarrior ותוריד את המדריך של SQL INJ וזהו...
זה מתחיל מעמוד 64 מתוך 69 עמודים הכותרת:
הגנה מפני התקפת SQL INJ
אם אתה יודע לתכנת ומבין למה הוא מתכוון לא תהיה לך שום בעיה. גם אם אתה לא ממש יודע לתכנת לעשות כמה בדיקות פשוטות (IF) בצד שרת לא אמור להוות בעיה.
נערך לאחרונה על ידי dandark; 19-07-2010 בשעה 13:08.
יש גם תוכנות שעושות את העבודה
או במילים אחרות, אם אתה יודע איך הפריצה עובדת אתה תדע גם לחסום אותה (וזאת אחת הפריצות שהכי קל לחסום).
מתכנתות בשבילך את האתר?
ואם אני אכניס %27 ?
הוא כנראה התכוון לתוכנות שבודקות פרצות באתר?
כי וואלה לא שמעתי על תוכנה שמתכנתת לפי בקשה שלך חח... או תוכנה שבודקת פרצות אבטחה ואז חוסמת אותן XD
קיצר גבר כל הסוד הוא באצבעות על המקלדת
YOSKE %27
זה נקרא URL ENCLODE ...
כן זו אחת הדרכים לעקוף סינונים על מילים שמורות כמו
union,select,and וכו
נגיד אם יש סינון על SELECT אז אפשר לכתוב sele%43t
%43=c
אבל מה הבעיה פה יוסקה
+ דרך הגנה הוא לעשות סינונים על מילים שמורות כמו SELECT ו UNION וכל השאר
ככה עם ההגנה נגד URL ENCODE וסינונים יעשו מלא בעיות לתוקף
או שאולי טעיתי בהגנה נגד URL ENCODE אבל עובדה שרוב האתרים ברגע שאתה מנסה לעשות URL ENCODE מזהים את זה כטקסט רגיל וחוסמים אותך ישר על המקום ככה שזה לא בעיה
עריכה: אתר מעולה שמסביר בדיוק מה לעשות
http://www.ehow.com/how_4434953_sql-...alidation.html
אחת הדרכים היותר קלות(מספר 2 באתר) הוא פשוט לחסום כל קלט(כל קלט אפשרי) ככה שלא מנסה אם זה גרש פסיק אחוז או כל חרא אחר זה לא יתן לו להכניס את הערך...
נערך לאחרונה על ידי dandark; 19-07-2010 בשעה 19:14.
נכון צריך להוסיף ' בסוף הכתובת כדי לראות אם יש פירצה לאתר? אז כשאני עושה את זה זה מעביר אותי תמיד לחיפוש בגוגל... מה לעשות?
הרשאות פרסום
ציטוט ההודעה
ספוילר: 