Machine Translated by Google



Download 1,74 Mb.
Pdf ko'rish
bet5/12
Sana19.07.2022
Hajmi1,74 Mb.
#824986
1   2   3   4   5   6   7   8   9   ...   12
Bog'liq
WebSecurity kitobi yaxshi

SQL in'ektsiyasi
UMUMIY

Bu eng xavfli veb-hujumdir

Faqat SQL Injection emas
Machine Translated by Google


$stmt->bind_param('ss', $_GET["id"], $_GET["pwd"]);
$natija = $stmt->execute();
$stmt = $db->tayyorlash(" ID=?
va pwd= hisob qaydnomalaridan SELECT * FROM ?")

Xato:
ishonchsiz maÿlumotlarni
aniq ajratib boÿlmaydi
koddan
_
SQL in'ektsiyasi
Umuman olganda, asosiy xato koddan ishonchsiz ma'lumotlarni aniq
ajratmaslikdir. OWASP tomonidan tavsiya etilgan yechim "bog'lash
o'zgaruvchilari" dan foydalanishdir. Texnika "parametrlashtirilgan so'rov"
deb ham ataladi. Yuqorida misol keltirilgan.
E'tibor bering, ushbu usul yordamida kod va ma'lumotlar o'rtasida aniq
ajratish mavjud. Kod “tayyorlash” iborasi bilan kiritiladi va u ishonchli, chunki
unda ishonchsiz maÿlumotlar yoÿq. Ma'lumotlar "bind_param" iborasi bilan
kiritiladi va biz ular ma'lumotlar sifatida ko'rib chiqilishiga ishonchimiz komil.
bog'lovchi o'zgaruvchilarning turlari: ikkita satr.
Birinchi bayonot bilan biz so'rovni "tayyorlaymiz", ya'ni so'rov ob'ekt
($stmt) bilan izohlanadi va ifodalanadi. So'rov ikkita parametrdan tashqari
("?" Belgilari) aniqlanadi.
Ikkinchi bosqichda ushbu etishmayotgan parametrlar haqiqiy qiymatlarga
bog'lanadi. Keyin so'rov bajariladi.
bind_param usulidagi "ss" parametri ni ifodalaydi

Asosiy qarshi chora: o'zgaruvchilarni bog'lash
Machine Translated by Google


- izolyatsiya
– Kirish uzunligi chegaralari
- Ma'lumotlar bazasi yoki PHP dastur tafsilotlarini
oshkor qilmang
Ma'lumotlar bazasiga ulaning va so'rovlarni
eng kam imtiyozlar
bilan bajaring

Download 1,74 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   ...   12




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish