sql injecter
- Автор vik96
- Начална дата
ето ти обяснението ми ще ти го обясна просто
Както знаем SQL Injection е метод, чрез който хакер може да внедри и изпълни SQL код при нефилтрирани данни предавани към базата. При този метод се използват кавички или апострофи като символи чрез които се внедрява код-а. В момента повечето уеб сървъри автоматично разграничават тези символи или се ползват функций за целта. Ако данните се въвеждат в базата правилно и се ползват функций за разграничаване на специалните символи то SQL Injection може да се избегне. Много често се срещат програмисти не разбиращи или бъркащи методите за филтриране. Ще разгледам възможностите за грешки при филтриране на данни и възможностите за един по-специфичен SQL Injectoion.
eто пример
Тук би могло да се построи запитване към базата съдържащо GET параметър id в случая:
Както знаем SQL Injection е метод, чрез който хакер може да внедри и изпълни SQL код при нефилтрирани данни предавани към базата. При този метод се използват кавички или апострофи като символи чрез които се внедрява код-а. В момента повечето уеб сървъри автоматично разграничават тези символи или се ползват функций за целта. Ако данните се въвеждат в базата правилно и се ползват функций за разграничаване на специалните символи то SQL Injection може да се избегне. Много често се срещат програмисти не разбиращи или бъркащи методите за филтриране. Ще разгледам възможностите за грешки при филтриране на данни и възможностите за един по-специфичен SQL Injectoion.
eто пример
Код:
http://web-tourist.net/news.php?id=7Тук би могло да се построи запитване към базата съдържащо GET параметър id в случая:
Код:
SELECT * FROM news WHERE id = 7