View Full Version : سوال: آیا این عبارات injection و یا نوعی حمله هست؟
moferferi
پنج شنبه 19 دی 1392, 13:52 عصر
سلام
امروز یه نفر توی سایتم حدود 50 بار ثبت نام کرده بود
عباراتی که برای نام کاربریش انتخاب کرده بود :
'&dir&'
!(()&&!|*|*|
?''?""
ایا این عبارات خطرناکه؟البته نتونسته لاگین کنه.چون بعد از ثبت نام نیاز به تایید مدیر داره؟
fakhravari
پنج شنبه 19 دی 1392, 15:34 عصر
بله
کد ثبتنامت بزار
کامبیز اسدزاده
پنج شنبه 19 دی 1392, 15:39 عصر
سلام
امروز یه نفر توی سایتم حدود 50 بار ثبت نام کرده بود
عباراتی که برای نام کاربریش انتخاب کرده بود :
'&dir&'
!(()&&!|*|*|
?''?""
ایا این عبارات خطرناکه؟البته نتونسته لاگین کنه.چون بعد از ثبت نام نیاز به تایید مدیر داره؟
از Captcha code استفاده کنید و همچنین میتونید با مشخص کردن قوانین و کاراکتر های مجاز جلوی این کار رو تا حد قابل چشمگیری بگیرید.
moferferi
پنج شنبه 19 دی 1392, 18:51 عصر
کد ثبت نامم یه کد insert معمولی با ef هستش.
فکر کنم اگه از sp استفاده کرده بودم هک میشدم.خدا را شکر ef چون به صورت پارامتریک کار میکنه این نوع injection ها روش عمل نمیکنه
ahmad156
پنج شنبه 19 دی 1392, 21:55 عصر
فکر کنم اگه از sp استفاده کرده بودم هک میشدم
اتفاقاً برعکس استفاده صحیح(!!!) از Stored Procedure ها یکی از راه های مقابله با SQL Injection هست.البته اگه صحیح استفاده نشه فرقی با Query ساده نمیکنه.اینجا (http://blogs.msdn.com/b/brian_swan/archive/2011/02/16/do-stored-procedures-protect-against-sql-injection.aspx)توضیح داده.در واقع هر روشی که استفاده از Parameter رو پیاده سازی کنه راه کار مقابله با SQL Injection هست.
البته احتمال حمله SQL Injection خیلی کمه ،بیشتر از این طریق حملات XSS انجام میشه
fakhravari
جمعه 20 دی 1392, 00:02 صبح
تعریف یک sqlcomand و گرفتن مقادیر از PARAMETR
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.