x-Soldier
Mesaj tarihi: 21.09.2014 13:26:16
SQL.php Şimdi bir SQL sorgumuz olsun. <?php $id=$_POST["id"]; $sql="SELECT username,email FROM users WHERE id = $id"; $result?mysql_query($sql); if(issed($id)) while ($row = mysql_fetch_row($result)) mysql_free_result($result); ?> * Buradaki sorguda users tablosundan username ve email kolonları çekilmiş.. Method = POST Eğer dikkat ettiyseniz SQL sorgusu herhangi bir filtreden geçirilmemiş.. $sql="SELECT username,email FROM users WHERE id = $id"; Peki biz bu sisteme nasıl saldırabiliriz diyen arkadaşlar çıkacaktır. Burada union komutu devreye giriyor ve http://siteadi.com/sql.php?id=-1/**/union/**/select/**/kolonlar/**/from/**/tablo/* Şeklinde siteye saldırarak database'den veri çekebiliriz.. Not: Scriptlerde SQL injection aramak çok kolay birşey değildir.. SQL diliyle aşina olmak lazım. Sizlere tavsiyem filtrelenmemiş sorgu bulduğunuz zaman database'e bakın ( tiplere ) gerektiği zaman çeşitli fonksiyonlar kullanmanız gerekebilir. Pratik yaptıkça gelişeceksiniz emin olun..
Not : (Ç)Alıntıdır. ama sağlam kaynaktan
Mesaj tarihi: 21.09.2014 13:26:16
SQL.php Şimdi bir SQL sorgumuz olsun. <?php $id=$_POST["id"]; $sql="SELECT username,email FROM users WHERE id = $id"; $result?mysql_query($sql); if(issed($id)) while ($row = mysql_fetch_row($result)) mysql_free_result($result); ?> * Buradaki sorguda users tablosundan username ve email kolonları çekilmiş.. Method = POST Eğer dikkat ettiyseniz SQL sorgusu herhangi bir filtreden geçirilmemiş.. $sql="SELECT username,email FROM users WHERE id = $id"; Peki biz bu sisteme nasıl saldırabiliriz diyen arkadaşlar çıkacaktır. Burada union komutu devreye giriyor ve http://siteadi.com/sql.php?id=-1/**/union/**/select/**/kolonlar/**/from/**/tablo/* Şeklinde siteye saldırarak database'den veri çekebiliriz.. Not: Scriptlerde SQL injection aramak çok kolay birşey değildir.. SQL diliyle aşina olmak lazım. Sizlere tavsiyem filtrelenmemiş sorgu bulduğunuz zaman database'e bakın ( tiplere ) gerektiği zaman çeşitli fonksiyonlar kullanmanız gerekebilir. Pratik yaptıkça gelişeceksiniz emin olun..
Not : (Ç)Alıntıdır. ama sağlam kaynaktan
