Printable Version of Topic Click here to view this topic in its original format

თბილისის ფორუმი > Web Programming > PHP დაცვა

Posted by: Gam3Master 11 Jul 2019, 13:22

გამარჯობა.PHP ეხლა ვსწავლობ. გავაკეთე cfg.php ფაილი რომელშიც MySQL მონაცემებია მითითებული და კავშირი.შემდეგ დაახლოებით 10 ფაილში არის გამოძახებული და ინფორმაცია გამოტანილი, ან INSERT ფუნქცია გამოყენებული. მაინტერესებს რა არის რისკები რომ რამეს მოიმოქმედებენ(როგორც მითხრეს SQL INJECT) და რა სახით შემიძლია დაცვA?

Posted by: DoomDev 11 Jul 2019, 13:50

https://www.php.net/manual/en/security.database.sql-injection.php მოძებნე გუგლში უამრავი სტატიაა დღეს აღარაა აქტუალური ეს თემა როგორც მაგალითად 10 წლის წინ( ვერთობოდი ბევრ საიტზე) მაგრამ ეს იმას არ ნიშნავს რომ შეცდომას არ დაუშვებ და ბაგიან კოდს არ დაწერ თანამედროვე ფრეიმვორკებში ეს პრობლემა თითქმის მოხსნილია ქარული რესურსებიც არსებობდა მაგლითად როგორიც იყო ჰაკინგ.გე სადაც მიშას ნაბოთლარმა ნამენტრებმა მოჯვეს მერე(უკაცრავად ბილწსიტყბაობისთვი) უამრავი სტატია მახსოვს ზოგადაფ უსაფრთხოებაზე შეიძლება დღესაც არსებობს რაღაც ფორმით დახურული არ ვიცი სატურნა რომ არის პოლიტ განყის მოდერი მაგას მიწერე ხაკერია გასწავლის კვების წყაროდან როგორ უნდა გამორთო სერვერი თუ ვეღაცამ ბაგი დაიჭირა საიტზე

Posted by: N2131009 11 Jul 2019, 22:14

QUOTE (DoomDev @ 11 Jul 2019, 13:50 ) მაგლითად როგორიც იყო ჰაკინგ.გე :დდდდდ ბავშვი რომ ვიყავი მანდ დავძვრებოდი Mkr! მახსოვს მეტი არ მახსენდება იუზერი ვიღაც კიდე იძახოდა უბანში სიკვდილას მეძახიანო

Posted by: DoomDev 11 Jul 2019, 23:27

N2131009 მეც მახსოვს ეგ ნიკი კიდე მახსოვს Motherboard თუ რაღაც სახელი ქონდა ვეგ პროგრამირების განყოფილების მოდერები ჯიგრები აღარ მახსოვს უმეტესის სახელი ძალიან დიდი დრო გავიდა. ეგ კი არა ჩემი ნიკიც აღარ მახსოვს Check ერქვა თუ alexchecki მგონი ერთს იუზერს ეგეც კარგი კაცი იყო xokaido კიდე აქაც გაილევებს ხოლმე მგონი იქაც ეს ხოკაიდო მოღვაწეობა ადრე ვკითხე მაგ ფორმუზე და ტიპმა დამიკიდა პასუხიც არ მაღირსა ალბათ რამე ზველი გრეხები აქვს და მაგიტომ არა და კარგი რესურსი იყო უამრავი სტატია მახსოვს დაწერილი მერე უცბად აირია სიტუაცია რამოდენიმე ნაც ხაკერმა მეც კი მაგინა მანდ ბოლოს აღარავინ არაფერს საუბრობდა რატომ მოსპეს ამდენი მასალა უცბად დახურეს უცნაური აგრესიული ბოტები გაიცითნენ ბოლოს შეურაწყოფას და მუქარასაც რომ არ ერიდებოდნენ მახსოვს მოდერი იყო თუ ადმინი ექაუნთის დახურვა ვთხოვე და მიზეზი მკითხა რატო ხურავო მეთქი ესეთი და ესეთი აბავია და დაიკიდეო რათქმაუნდა ვერ დავიკიდე კიდე მახსოვს ვინმე ვასკა თუ თუ რაღაც .... კარგად არ მახსენდება(არვიცი რატომ) QUOTE ვიღაც კიდე იძახოდა უბანში სიკვდილას მეძახიანო

Posted by: N2131009 11 Jul 2019, 23:53

DoomDev ჰო ხოკაიდოც QUOTE კიდე მახსოვს ვინმე ვასკა თუ თუ რაღაც .... კარგად არ მახსენდება(არვიცი რატომ) ვასკა 06 ?

Posted by: DoomDev 12 Jul 2019, 00:14

QUOTE ვასკა 06 ?

Posted by: where_security_fails 12 Jul 2019, 22:07

სალამი sql injection ხდება როდესაც გაუფილტრავი ინფუთი მიეწოდება ბაზას, ძირითადად ხდება ' ან " ფილტრში მოქცეული დინამიური ცვლადისას. შენს შემთხვევაში INSERT INTO-თი შესაძლებელია mysql იუზერ პასის გადაწერა თან საკმაოდ გავრძელებული მეთოდია. თავდაცვის ერთ ერთი ხერხია კონფიგების კონსტანტებად დეკლარირება მაგრამ დადამპვის შემთხვევაში შედეგი იგივე იქნება. პირველ ეტაპზე sqlmap --risk 3 --level 5 გადაატარე მთლიან სერვერს, ავტომატიზირებული თულზია advance manual-ის დონეზე )

Posted by: DoomDev 15 Jul 2019, 00:27

Gam3Master https://www.facebook.com/cyberassociation/posts/445737262706033?__tn__=K-R where_security_fails თქვენი ხომ არ არის ეს ფბ გვერდი?

Posted by: where_security_fails 15 Jul 2019, 21:31

DoomDev chemi araa magram mplobels vicnob porumebzec viyavi + exlacaa ramdenime live, dzvel dones verdebs tumca axlebic kargebi wamovida

Posted by: xokaido 22 Jul 2019, 10:58

DoomDev ეტყობა არ წამიკითხია რა მომწერე თორე არ ვიკიდებდი ხოლმე ესე ხალხს...

Posted by: DoomDev 6 Aug 2019, 16:18

xokaido შეიძლება სამართლიანობისთვის უნდა აღინიშნოს, რომ დადებითად მახსოვს თქვენი იქ მოღვაწეობა

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)