ویرایش شد....

جناب افشین خان ؛
ممکنه روش SQL INJECTIONرا به بنده یاد بدهید یا لااقل منبعی برای جلوگیری از آن معرفی کنید؟

شما هنگامی که لاگین می کنید با استفاده از یک عبارت SQL چک می کنید که کاربر آیا وجود دارد یا خیر.
حالا می توان بجای یوزر نیم و پسورد یک عبارت sql وارد کرد که ....... الی آخر!! :wink: خودتون تا ته آنرا حدس بزنید
البته این روش های سال 2000 است! :shock:

عزیزم
ساده است کافی است به داده های که کاربر وارد می کند اعتماد نکنید و حتما آنها را برای عباراتی مثل ' " ; % فیلتر کنید
اما دریغا که خیلی ها داده های گرفته شده از کاربر را مستقیما در برنامه استفاده می کنند
به این ترتیب نام فیلدهای مورد استفاده در دیتابیس و گاها نام دیتابیس به همرا کد خطایی به هکر نمایش داده می شود
و این یعنی یک گام به پیروزی......

البته یادم رفت بگم
برای آنکه عده ای از این روش سو استفاده نکنند به طور کامل توضیح نمی دم
اما اگر می خواین برین تو گوگل بنویسن How I Hacked و یا SQL Injection

خدا جون! یعنی می شه یه روز بیاد که تو Symantec استخدام بشم؟
حالا که داری آرزو می کنی یه آرزوی بهتر بکن!

اصول کلی اش را بلد بودم در مورد جزییات جلوگیری در خود اینترپرایز و نیز پچ اصلاح که در سایت مایکروسافت هستش توضیح بفرمایید.
با تشکر فراوان :oops:

بابا خیلی جوجه ای
تونستی deface کنی
چه اطلاعاتی بدست اوردی ؟
حداکثر کاری که کردی چند تا table رو پاک کردی ؟

بابا خیلی جوجه ای
خوب شما که مرغی بگو چیکار کنیم :wink:

تونستی deface کنی
یادمون بده :!:

چه اطلاعاتی بدست اوردی ؟
یک دیتابیس دانلود شده یا ایجاد یک کلمه عبور ... همین

عزیز روش sql injection شاید روش بی اهمیتی باشه اما واسه یه سایت که اطلاعات زیادی رو نگه می داره ... دستور drop table می تونه خطر ناک باشه مخصوصا اینکه تو ایرون باشه و backup هم نداشته باشه