ویرایش شد....
ویرایش شد....
آخرین ویرایش به وسیله Developer Programmer : دوشنبه 08 مهر 1387 در 22:29 عصر
جناب افشین خان ؛
ممکنه روش SQL INJECTIONرا به بنده یاد بدهید یا لااقل منبعی برای جلوگیری از آن معرفی کنید؟
شما هنگامی که لاگین می کنید با استفاده از یک عبارت SQL چک می کنید که کاربر آیا وجود دارد یا خیر.
حالا می توان بجای یوزر نیم و پسورد یک عبارت sql وارد کرد که ....... الی آخر!! :wink: خودتون تا ته آنرا حدس بزنید
البته این روش های سال 2000 است! :shock:
عزیزم
ساده است کافی است به داده های که کاربر وارد می کند اعتماد نکنید و حتما آنها را برای عباراتی مثل ' " ; % فیلتر کنید
اما دریغا که خیلی ها داده های گرفته شده از کاربر را مستقیما در برنامه استفاده می کنند
به این ترتیب نام فیلدهای مورد استفاده در دیتابیس و گاها نام دیتابیس به همرا کد خطایی به هکر نمایش داده می شود
و این یعنی یک گام به پیروزی......
البته یادم رفت بگم
برای آنکه عده ای از این روش سو استفاده نکنند به طور کامل توضیح نمی دم
اما اگر می خواین برین تو گوگل بنویسن How I Hacked و یا SQL Injection
حالا که داری آرزو می کنی یه آرزوی بهتر بکن!خدا جون! یعنی می شه یه روز بیاد که تو Symantec استخدام بشم؟
اصول کلی اش را بلد بودم در مورد جزییات جلوگیری در خود اینترپرایز و نیز پچ اصلاح که در سایت مایکروسافت هستش توضیح بفرمایید.
با تشکر فراوان :oops:
بابا خیلی جوجه ای
تونستی deface کنی
چه اطلاعاتی بدست اوردی ؟
حداکثر کاری که کردی چند تا table رو پاک کردی ؟
خوب شما که مرغی بگو چیکار کنیم :wink:بابا خیلی جوجه ای
یادمون بده :!:تونستی deface کنی
یک دیتابیس دانلود شده یا ایجاد یک کلمه عبور ... همینچه اطلاعاتی بدست اوردی ؟
عزیز روش sql injection شاید روش بی اهمیتی باشه اما واسه یه سایت که اطلاعات زیادی رو نگه می داره ... دستور drop table می تونه خطر ناک باشه مخصوصا اینکه تو ایرون باشه و backup هم نداشته باشه