php'de SQL injection - Google Fan Webmaster Forum
Google Fan Webmaster Forum  

Geri Dön   Google Fan Webmaster Forum > Server Side Programlama > ASP
php'de SQL injection php'de SQL injection
Kayıt ol SSS Üye Listesi Takvim Bütün Forumları okunmuş kabul et

ASP Script sorunları yardım paylaşım bölümü

Cevapla
 
LinkBack Konu Seçenekleri
  #1 (permalink)  
Eski 22-08-2006, 23:25:22
Bartuc - ait Avatar
phpministraktör
  
Kütahya Şubesi
Nerden: unknown origin..
Mesajlar: 2.236
Thanks: 0
Thanked 0 Times in 0 Posts
iTrader Puanı: (47)
iTrader Feedback: (100%)
Rep puanı: 151
Bartuc isimli üyemiz daha yolun başında.Bartuc isimli üyemiz daha yolun başında.
Bartuc - MSN üzerinden Mesaj gönder
Tanımlı php'de SQL injection
php'de sql injection'un nerelere nasıl yapılabildiği ve önlem olarak ne yapılabileceği hakkında bilgi verirseniz sevinirim.
__________________
[SIGPIC][/SIGPIC]
Alıntı ile Cevapla
  #2 (permalink)  
Eski 22-08-2006, 23:26:58
Yuc3L - ait Avatar
 
Kahramanmaraş Şubesi
Nerden: morg (:
Yaş: 25
Mesajlar: 844
Thanks: 0
Thanked 0 Times in 0 Posts
iTrader Puanı: (10)
iTrader Feedback: (100%)
Rep puanı: 104
Yuc3L isimli üyemiz daha yolun başında.Yuc3L isimli üyemiz daha yolun başında.
Tanımlı
yapılan sorgulamalardaki özel karakterleri filtreleyebilirsin, referrer kontrolu yapabilirsin. sorgulama için form kutucukları varsa orada kullanılacak karakterler önemlidir. ' gibi.
__________________
pr'li oyun siteleri ile çapraz link değişimi için özel mesaj gönderin
Alıntı ile Cevapla
  #3 (permalink)  
Eski 23-08-2006, 09:25:16
fabal - ait Avatar
 
Sakarya Şubesi
Nerden: Sakarya
Yaş: 30
Mesajlar: 69
Thanks: 0
Thanked 0 Times in 0 Posts
iTrader Puanı: (0)
iTrader Feedback: (0%)
Rep puanı: 18
fabal isimli üyemiz hakkına hiçbir bilgimiz yok.
fabal - MSN üzerinden Mesaj gönder
Tanımlı
Veritabanı işlemleri sırasında tüm değişkenleri eğer integer ise intval, ondalık sayı ise floatval veya yazı ise addslashes fonksiyonlarından geçirdikten sonra kullanınız. Mesela

Code:
"INSERT INTO tablo (integer_alan, float_alan, yazi_alan) VALUES('".intval($integer)."', '".floatval($float)."', '".addslashes($text)."')";
Bu işlem sonucunda %99.9 SQL Injection açığınız bulunmaz. (%0.01 ihtimal var mı bilmiyorum)
__________________
All we are trying to gain, making us want more, making us see less [Kitaro]
Alıntı ile Cevapla
  #4 (permalink)  
Eski 23-08-2006, 11:52:19
Diyenez - ait Avatar
 
Adana Şubesi
Nerden: Adana
Mesajlar: 931
Thanks: 0
Thanked 0 Times in 0 Posts
iTrader Puanı: (6)
iTrader Feedback: (100%)
Rep puanı: 39
Diyenez isimli üyemiz hakkına hiçbir bilgimiz yok.
Diyenez - ICQ üzerinden Mesaj gönder Diyenez - AİM üzerinden Mesaj gönder Diyenez - MSN üzerinden Mesaj gönder Diyenez - YAHOO üzeri ndenMesaj gönder
Tanımlı
veriyi sadece rakamlarla yolla ve

if (!is_numeric($veri)) { echo ("lamer alert!"); }

ekle
Alıntı ile Cevapla
  #5 (permalink)  
Eski 23-08-2006, 12:41:05
WebSenator - ait Avatar
 
İstanbul Avrupa Şubesi
Mesajlar: 684
Thanks: 0
Thanked 0 Times in 0 Posts
iTrader Puanı: (3)
iTrader Feedback: (100%)
Rep puanı: 42
WebSenator isimli üyemiz hakkına hiçbir bilgimiz yok.
WebSenator - MSN üzerinden Mesaj gönder WebSenator - YAHOO üzeri ndenMesaj gönder
Tanımlı
Alıntı:
DNS1´isimli üyeden Alıntı Mesajı Göster
veriyi sadece rakamlarla yolla ve

if (!is_numeric($veri)) { echo ("lamer alert!"); }

ekle
if (!is_numeric($veri)) { echo ("S..tir Leyn Aptal Lamer"); }
Alıntı ile Cevapla
  #6 (permalink)  
Eski 04-03-2007, 18:46:11
G60 - ait Avatar
G60 G60 isimli üyemiz çevrimdışıdır. (Offline)
 
Ankara Şubesi
Yaş: 21
Mesajlar: 543
Thanks: 0
Thanked 0 Times in 0 Posts
iTrader Puanı: (2)
iTrader Feedback: (100%)
Rep puanı: 29
G60 isimli üyemiz hakkına hiçbir bilgimiz yok.
Tanımlı
Konuyu hortlatcam. İçimin rahat olması lazım

Addslashes'in ne yaptığını biliyorum ancak, tam çözüm mü sizce ?
Alıntı ile Cevapla
  #7 (permalink)  
Eski 12-03-2007, 12:40:05
Tontonq - ait Avatar
 
Adıyaman Şubesi
Mesajlar: 523
Thanks: 0
Thanked 0 Times in 0 Posts
iTrader Puanı: (2)
iTrader Feedback: (100%)
Rep puanı: 13
Tontonq isimli üyemiz hakkına hiçbir bilgimiz yok.
Tanımlı
urldecode base64_decode kullanmayın verileri aldiqiniz variable lardan


function is_user() {
global $connection, $cookiename;
if(!$user = $_COOKIE["$cookiename"]) return false; 4
$user = base64_decode($user);
$user = explode(":", $user);
$uid = "$user[0]";
$pwd = "$user[2]";
if ($uid != "" AND $pwd != "") {
$result = @ mysql_query("SELECT password FROM "._TP."users WHERE userid='$uid'", $connection);
$row = @ mysql_fetch_array($result);
$pass = $row["password"];
if($pass == $pwd && $pass != "" ) {
return true;
}
}
return false;
}

bakın mesela çok kötü 1 func base64_decode kullanmış magic quotess on olsa bile ' ı base64 ile encode ederek auth bypass yapabilirsiniz tabi bunla sınırlı deil

http://www.tug.tubitak.gov.tr/haber.php?id=-1+union+select+0,1,load_file("/var/www/html/index.php"),3,4,5/*

{ eğitim amaçlı veriyorum linki : ) }

remote source disclosure de yapabilirsiniz çok basitinden hatta sorgunun sonunda into outfile "/x/x.php" kullanarak dosya da oluşturabilirsiniz vs. :}
Alıntı ile Cevapla
Cevapla

« Önceki Konu | Sonraki Konu »

Konuyu Toplam 1 üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Konu Seçenekleri

Yetkileriniz
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-KodlarıKapalı
Trackbacks are Açık
Pingbacks are Açık
Refbacks are Açık

Bütün Zaman Ayarları WEZ +3 olarak düzenlenmiştir. Şu Anki Saat: 18:14:49 .

İletişim - Webmaster forumu, webmaster Resource, Hosting, Dedicated, Seo, adsense para kazanma, adwords reklam verme, hosting şirketleri - Arşiv - Yukarı Git

 
Telif Hakları vBulletin v3.7.2 © 2000-2008, ve Jelsoft Enterprises Ltd.'e Aittir.
Hosted by Radore Hosting

“İnsanların en hayırlısı, insanlara faydalı olandır”. H.Ş

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198