Machine Translated by Google



Download 1,74 Mb.
Pdf ko'rish
bet3/12
Sana19.07.2022
Hajmi1,74 Mb.
#824986
1   2   3   4   5   6   7   8   9   ...   12
Bog'liq
WebSecurity kitobi yaxshi

SQL in'ektsiyasi
Machine Translated by Google


SQL in'ektsiyasi

Id va pwd GET parametrlaridir

Foydalanuvchi ma'lumotlari SQL ma'lumotlar bazasida
saqlanadi

Misol: veb-sahifada foydalanuvchi identifikatori va pwd
ko'rsatilgan foydalanuvchi haqidagi ma'lumotlar ko'rsatiladi

URL:
https://example.com/app/accountView?id=pippo&pwd=pluto
Machine Translated by Google


ID='foo'
va pwd='bar'
yoki '1'='1'
bo'lgan hisoblardan * FROM
ni tanlang.
$query =
"TANLASH * FROM hisob qaydnomalari WHERE id='" .
$_GET["id"] .
"' va
pwd ='" .
$_GET["pwd"] . "'";
http://example.com/app/accountView?id=foo&pwd=bar'
yoki '1'='1
SQL in'ektsiyasi
Agar kirishlar kutilgan bo'lsa, bu kod normal ishlaydi, lekin agar
kirish tasodifiy yoki ataylab ba'zi SQL maxsus belgilarni o'z ichiga
olgan bo'lsa-chi?
Yuqoridagi zararli so'rovni yuborgan tajovuzkorni ko'rib chiqing.
Bu SQL in'ektsiyasi zaifligiga misol. Yuqoridagi PHP kodi oddiy
kirish protsedurasini bajaradi. U URL GET parametrlari orqali
kirish sifatida foydalanuvchi nomi va parolni oladi. Keyin, u
foydalanuvchi ma'lumotlarini hisoblar ma'lumotlar bazasidan
oladigan SQL so'rovini yaratish uchun ma'lumotlarni birlashtiradi.
Keyin bu ma'lumot mijozga beriladi.
"pwd" parametri SQL maxsus belgilarini o'z ichiga oladi. PHP
tarjimoni so'rovni qurganda, natija ko'rsatiladi. WHERE bandidagi
"yoki '1'='1'" sharti foydalanuvchi nomi va paroldagi boshqaruv
elementlarini chetlab o'tadi va butun ma'lumotlar bazasini ochib
beradi. Agar ushbu ma'lumotlarning ba'zilari maxfiy bo'lsa,
masalan, parollar yoki kredit karta raqamlari, foydalanuvchilar va
veb-sayt katta muammoga duch kelishadi.

Olingan soÿrov butun foydalanuvchilarning maÿlumotlar bazasini
ochib beradi:

Zaiflik misoli:

Buzg‘unchi quyidagi URL so‘rovini
yuboradi:
Machine Translated by Google



Download 1,74 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   ...   12




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish