SQL Injection Treening

SQL süst hacks on läbi serveri, mis ei ole vajalikud turvaline programmeerimine.Need on tavaliselt saavutatav serverites, kus veebilehe koodi kasutab inline SQL, mis tähendab, et päringu on kodulehe koodi asemel asub hoida korras.Teades, kuidas SQL süst hack töötab aitab veebisaitide omanikud kaitsta klientide andmeid ja turvaline veebilehti.

vorm Muutuja

  • esimene samm mõistmaks, kuidas SQL süst rünnak on loodud on imitatsiooniga probleem.SQL süst rünnakud on saavutatav läbi vormi muutujad HTML lehel.Loomine kujul võimaldab webmaster simuleerida ja testida turvalisuse veebiserver.Allpool on näide vormi objekti saab luua SQL süst rünnak.

    & lt; input type = \ "text \" name = \ "myname \" & gt;

    Kuigi see on lihtne vorm tekstikasti, see on kõik, mida on vaja täita SQL süst.

häkker kood

  • Kui SQL avaldused on tehtud, taotluse ehitab SQL koodi, mis saadetakse andmebaasi.Kui string saadetakse andmebaasi, kood näeb välja nagu allpool tekst:

    valida * alates myTable kus n

    ame = "myVariableFromtheForm"

    linnuke tähistab lõppu SQL koodi, ja see on koht, kus häkkerite eesmärk.Kui tekstikasti nagu üks loonud 1. jaos kasutatakse ehitada string, häkker saab sisestada midagi järgmist tekstikasti:

    "või 1 = 1;-

    See võib tunduda plära, kuid tegelikult on see süstib koodi andmebaasi, mis haldab server.Kui \ "myVariableFromtheForm \" asendatakse koodi eespool avaldus juhivad server tegelikult välja näeb järgmist:

    valida * alates myTable kus name = "" või 1 = 1 - "

    Võimalus \" -\ "on kommentaarid kood SQL server, nii et viimane lõpetav linnuke ignoreeritakse.String on tühi ja häkker süstib kood \ "1 = 1 \" ümber avalduse.Mida see teeb, on tagasi iga rea ​​laua häkker.See, kuidas südametunnistuseta inimene varastab isiklikke andmeid andmebaasi serveritest.

Kinnitus probleem

  • Parim viis probleemi lahendamiseks on kood, mis on vastuvõtlikud SQL süst hack on kasutada \ "Asenda \" funktsiooni igal üksikjuhul, kui tekst on sisestatud kasutajad.Näiteks ASP kood järgmine rida koodi asendab ühe linnuke kaks.Kui SQL Server jookseb kood kaks kriipstähised, see loeb neid grammatiline ja string ei lõpetata.

    String.replace (\ "" \ ", \" "" \ ")
    GO

    kood eespool asendab kõik juhtumid ühe linnuke kaks, eemaldades haavatavust SQL süst rünnak.

609
0
0
Andmebaasitarkvaraga