ஒரு SQL ஊசி என்ன?

தளங்கள் மற்றும் வலையில் உள்ள பக்கங்களின் எண்ணிக்கை சீராக வளர்ந்து வருகிறது. யார் அந்த வளர்ச்சிக்கு எடுக்கப்பட்டது. மற்றும் புதிய டெவலப்பர்கள் அடிக்கடி பாதுகாப்பற்ற மற்றும் பழைய குறியீட்டைப் பயன்படுத்தவும். அது குற்றவாளிகள் மற்றும் ஹேக்கர்கள் க்கான ஓட்டைகள் நிறைய உருவாக்குகிறது. அவர்கள் விட. ரீதியான SQL- ஊசி - மிகவும் உன்னதமான பாதிப்புகள் ஒன்று.

பற்றிய கருத்தில் பிட்

பல மக்கள் நெட்வொர்க்கில் தளங்கள் மற்றும் சேவைகளை பெரும்பான்மை SQL தரவுத்தள சேமிப்பு பயன்படுத்தி என்று எனக்கு தெரியும். இந்த ஒரு உள்ளது கட்டமைக்கப்பட்ட வினவு மொழி நீங்கள் கட்டுப்படுத்துவதாகவும், டேட்டாவை நிர்வகிக்க அனுமதிக்கிறது. ஆரக்கிள், மை.எஸ்.க்யூ.எல் Postgre - தகவல் மேலாண்மை அமைப்பு தகவல் பல்வேறு பதிப்புகள் உள்ளன. பொருட்படுத்தாமல் பெயர் மற்றும் வகை, அவர்கள் அதே கேள்வி தரவைப் பயன்படுத்துகிறார்கள். அது வாய்ப்புள்ளது உள்ளது என்று இங்கே உள்ளது. டெவலப்பர் ஒழுங்காக கையாள பாதுகாப்பாகவும் கோர தவறினால் தாக்குவோரால் இந்த பயன்படுத்தி கொள்ள முடியும் மற்றும் தகவல் அணுக, பின்னர் சிறப்பு தந்திரோபாயங்கள் பயன்படுத்த - மற்றும் அனைத்து தளத்தில் நிர்வாகத்துக்கும் ஒப்பந்தம் செய்யப்பட்டார்.

இது போன்ற சூழல்களில் தவிர்க்க, நீங்கள் ஒழுங்காக குறியீடு மேம்படுத்த மற்றும் நெருக்கமாக ஒரு கோரிக்கை செயலாக்கப்படுகிறது இதில் ஒரு முறையில் கண்காணிக்க வேண்டும்.

ரீதியான SQL- ஊசி சரிபார்க்கவும்

நெட்வொர்க்கில் ஒரு பாதிப்பு முன்னிலையில் நிறுவ முடிந்ததும் தானியங்கு மென்பொருள் அமைப்புகள் எடை உள்ளது. ஆனால் அது கைமுறையாக ஒரு எளிய காசோலை நிறைவேற்ற முடியும். இதை செய்ய, சோதனை தளங்களில் ஒன்றாக சென்று முகவரி பட்டியில் ஒரு தகவல் பிழை ஏற்படுத்தும் முயற்சி. உதாரணமாக, தளத்தில் ஒரு ஸ்கிரிப்ட் கோரிக்கை கையாள முடியாது அவர்களை ஒழுங்கமைக்க வேண்டாம்.

உதாரணமாக, / இன்டெக்ஸ்.பிஎச்பி அங்கு nekiy_sayt? ஐடியை = 25

எளிதான வழி - மேற்கோள் பிறகு 25 வைத்து கோரிக்கையை அனுப்ப. எந்த பிழை, ஒன்று தளம் மற்றும் வடிகட்டி மீது ஏற்பட்டால் அனைத்து கோரிக்கைகளும் சரியாக கையாளப்படவில்லை அல்லது அவற்றின் வெளியீடு அமைப்புகளை முடக்கப்பட்டுள்ளது. ஒரு பக்கம் பிரச்சினைகள் மீண்டும் ஏற்றப்படுகின்றது என்றால், ரீதியான SQL- ஊசி ஏதுநிலையாக உள்ளது.

அவர் அறிந்து கொண்டு பிறகு, நீங்கள் அதை பெற முயற்சி செய்யலாம்.

பற்றி கொஞ்சம் தெரிந்து கொள்ள இந்த பாதிப்பு தேவை செயல்படுத்த ரீதியான SQL- கேள்விகளுக்கு அணிகள். அவற்றில் ஒன்று - ஒன்றியம். இது ஒரு பல கேள்வி முடிவுகளும் ஒன்றாக கொடுக்கிறது. எனவே நாங்கள் அட்டவணையில் உள்ள புலங்களை எண்ணிக்கை கணக்கிட முடியும். எடுத்துக்காட்டு முதல் கேள்வி:

• nekiy_sayt / இன்டெக்ஸ்.பிஎச்பி? ஐடி = 25 யூனியன் தேர்ந்தெடுக்கவும் 1.

பெரும்பாலான சந்தர்ப்பங்களில், இந்தப் பதிவில் ஒரு பிழை உருவாக்க வேண்டும். இந்த துறைகளில் எண் இல்லை 1. சமமாக 1 அல்லது அதை விட அதிகமாக விருப்பங்கள் தேர்ந்தெடுக்கும், அது அவர்களின் சரியான எண்ணிக்கை நிறுவ முடியும், இவ்வாறு மிக முக்கிய காரணமாக விளங்குகிறது:

• nekiy_sayt / இன்டெக்ஸ்.பிஎச்பி? ஐடி = 25 யூனியன் தேர்ந்தெடுக்கவும் 1,2,3,4,5,6.

அது யூகிக்க துறைகளில் எண் என்று பொருள், பிழை இனி தோன்றும் போது உள்ளது.

இந்த பிரச்சினைக்கு ஒரு மாற்று தீர்வு உள்ளது. உதாரணமாக, போது துறைகளில் பெரிய அளவில் - 30, 60 அல்லது 100 இந்த கட்டளை GROUP BY என்பது. அது குழுக்கள் உதாரணமாக ஐடி எந்த அடிப்படையில் ஒரு கேள்வி, முடிவுகளை:

• nekiy_sayt / இன்டெக்ஸ்.பிஎச்பி? ஐடி = 25 குழு 5 மூலம்.

பிழை பெற்றார் செய்யப்படவில்லை என்றால், 5. மேலும் துறைகள் விட இவ்வாறு, ஒரு மிகவும் பரந்த வரம்பில் இருந்து பதிலீடுசெய்யப்பட்டது விருப்பங்கள், அது சாத்தியம் உண்மையில் அவர்கள் எத்தனை கணக்கிடுவதே.

இந்த எடுத்துக்காட்டு SQL ஊசி - அதன் தளத்தில் சோதனை தங்களை முயற்சி விரும்பும் ஆரம்ப. அது குற்றவியல் கோட் மற்றொரு கிடைக்க கட்டுரை அங்கீகரிக்கப்படாத அணுகல் அந்த நினைவில் கொள்வது முக்கியமானது.

ஊசி முக்கிய வகைகள்

பல உள்ளடக்கிய வழிகளில் SQL-மருந்தூசியாக பாதிப்பு செயல்படுத்தவும். அடுத்து மிகவும் பிரபலமான முறைகள்:

• யூனியன் கேள்வி, SQL இன்ஜெக்சன். இந்த வகை ஒரு எளிய உதாரணம் ஏற்கனவே மேலே ஆய்வு செய்யப்பட்டது. அது காரணமாக எந்த வடிகட்டி இல்லை உள்வரும் தரவு, சோதனை பிழையை உணரப்படுகிறது.

• பிழை சார்ந்த SQL ஊசி. பெயர் குறிப்பிடுவது போல, இந்த வகை ஒரு பிழை, எனும் சொல் தவறான இசையமைத்த வெளிப்பாடுகள் அனுப்பும் பயன்படுத்துகிறது. பின்னர் பதில் தலைப்புகள், ஆராய்தல் பின்னர் ரீதியான SQL- ஊசி மேற்கொள்ளப்படுகிறது முடியும் இதில் இடைமறிப்பு உள்ளது.

• அடுக்கப்பட்ட SQL வினவல்களைச் இன்ஜெக்சன். இந்த பாதிப்பு அடுத்தடுத்த கோரிக்கைகளை செய்வதன் மூலம் தீர்மானிக்கப்படுகிறது. அது அடையாளம் முடிவில் கூடுதலாக வகைப்படுத்தப்படும் ";". இந்த அணுகுமுறை அடிக்கடி சலுகைகள் அனுமதித்தால், தரவை எழுதவும் படிக்கவும் அல்லது இயக்க முறைமை செயல்பாடுகள் செயல்படுத்த அணுக செயல்படுத்தப்படுகிறது.

ரீதியான SQL- பாதிப்புகள் தேடுவதற்கான மென்பொருள்

ரீதியான SQL- உட்செலுத்துதலுக்கான இருக்கிறதா, திட்டம் பொதுவாக இரண்டு பாகங்களைக் கொண்டிருக்கின்றன - சாத்தியமான பாதிப்புகள் ஒரு தளத்தில் ஸ்கேன் மற்றும் தரவு அணுக அவற்றை பயன்படுத்த. கிட்டத்தட்ட அனைத்து அறியப்பட்ட தளங்களில் சில கருவிகள் உள்ளன. அவற்றின் செயல்பாட்டில் பெரிதும் உங்கள் SQL ஊசி சிதைப்பதற்கு சோதனை வலைத்தளத்தில் வசதி.

Sqlmap

மிகவும் தரவுத்தளங்கள் வேலை என்று மிகவும் சக்திவாய்ந்த ஸ்கேனர். இது SQL ஊசி செயல்படுத்த பல்வேறு முறைகள் ஆதரிக்கிறது. அது தானாக கடவுச்சொல்லை ஹாஷ் வெடிப்பு மற்றும் அகராதியின் வகை அங்கீகரிக்க முடியும். ஒரு சர்வர் வழங்கு மற்றும் செயல்பாட்டு கோப்பு பதிவேற்றம் மற்றும் பதிவிறக்கம்.

லினக்ஸ் நிறுவல் கட்டளைகளைப் பயன்படுத்தி செய்யப்படுகிறது:

• Git குளோன் https://github.com/sqlmapproject/sqlmap.git sqlmap-மேம்பாடு,
• cdsqlmap-தேவ் /,
• ./sqlmap.py --wizard.

விண்டோஸ் கட்டளை வரி மற்றும் வரைகலை பயனர் இடைமுகம் ஒரு விருப்பத்தை கிடைக்கிறது.

jSQL ஊசி

jSQL ஊசி - எல் பாதிப்புகள் பயன்படுத்தி பரிசோதிப்பதற்கான குறுக்கு மேடையில் கருவி. ஜாவாவில் எழுதப்பட்டது எனவே கணினி, JRE நிறுவ வேண்டும். GET கோரிக்கைகள், போஸ்ட், தலைப்பு, குக்கீ கையாள முடியும். அது ஒரு வசதியான வரைகலை இடைமுகம்.

பின்வருமாறு இந்த மென்பொருள் தொகுப்பின் நிறுவல் இது:

wget, https://github.com/`curl -s, https: //github.com/ron190/jsql-injection/releases | க்ரெப் மின் -o '/ron190/jsql-injection/releases/download/v[0-9]{1,2}.[0-9]{1,2}/jsql-injection-v[0-9] . {1,2} [0-9] {1,2} .jar '| தலை-அன் 1`

துவங்கப்பட்டது கட்டளை ஜாவா பயன்படுத்தி -jar ./jsql-injection-v*.jar உள்ளது

ரீதியான SQL- பாதிப்பு சோதனை தளத்தில் தொடங்கும் பொருட்டு, நீங்கள் மேல் துறையில் முகவரியை உள்ளிடவும் வேண்டும். அவர்கள் GET, போஸ்ட் தனி உள்ளன. ஒரு நேர்மறையான விளைவாக கிடைக்கின்ற அட்டவணைகள் பட்டியலில் விட்டு சாளரத்தில் தோன்றும். அவற்றைக் காண மற்றும் சில ரகசிய தகவலை அறிந்து கொள்ளலாம்.

தாவலை «நிர்வாகம் பக்கம்» நிர்வாக பேனல்கள் கண்டறியப் பயன்படுத்தப்படலாம். அது சிறப்பு வார்ப்புருக்கள் மூலம் தானாக அமைப்பு அளிக்கப்பட்ட பயனர்களுக்காக பதிவு தேடுகிறது. அவர்களிடம் இருந்து நீங்கள் கடவுச்சொல்லை ஒரு ஹாஷ் பெற முடியும். ஆனால் அவர் திட்டத்தின் கருவிப்பெட்டியைப் உள்ளது.

அனைத்து பாதிப்புகள் மற்றும் ஊசி தேவையான விசாரணைகள் கண்டுபிடித்த பின்னர், கருவி மாறாக, சர்வர் உங்கள் கோப்பில் அல்லது நிரப்ப அதை இங்கிருந்தே பதிவிறக்கலாம் அனுமதிக்கும்.

எனவும் தொட்டி v.7

இந்த திட்டம் - எளிதாக, SQL பாதிப்புகள் கண்டுபிடித்து செயல்படுத்த கருவி பயன்படுத்த. அது ஐ.நா. தொற்காளைப் என்று அழைக்கப்படும் அடிப்படையாக கொண்டது உற்பத்தி செய்கிறது. பட்டியலில் இணையத்தில் காணலாம். ரீதியான SQL- உட்செலுத்துதலுக்கான Dorca - இந்த தேடல் கேள்விகளுக்கு சிறப்பு வார்ப்புருக்களாக இருக்கின்றன. அவர்களின் உதவியுடன், நீங்கள் எந்த தேடுபொறி மூலம் ஊறுபடத் தளத்தில் காணலாம்.

பயிற்சி கருவிகள்

Itsecgames.com தளத்தில் எடுத்துக்காட்டு SQL ஊசி செய்ய அதை சோதிக்க எப்படி காட்டுகிறது அனுமதிக்கும் கருவிகள் ஒரு சிறப்பு தொகுப்பிற்கு உள்ளது. நன்மை பொருட்டு, அது பதிவிறக்கி நிறுவ வேண்டும். காப்பகத்தை தளத்தின் கட்டமைப்பில் இது கோப்புகளின் தொகுப்பாக கொண்டுள்ளது. நிறுவ அது அப்பாச்சி இணைய சேவையகம், MySQL மற்றும் PHP தொகுப்பின் இருக்கும் அமைப்பில் வேண்டும்.

ஒரு வலை சர்வர் கோப்புறையில் காப்பகத்தை திறக்க, நீங்கள் இந்த நிறுவும் பிடிக்கும்போது உள்ளிட்ட முகவரிக்கு செல்ல வேண்டும் மென்பொருள். பயனர் பதிவு ஒரு பக்கம். இதோ உங்கள் தகவல்களைக் உள்ளிட்டு «உருவாக்கவும்» வேண்டும். ஒரு புதிய திரை பயனர் நகரும், கணினி சோதனை வழக்குகளில் ஒன்றான தேர்ந்தெடுக்க கேட்கும். இவர்களில் இரண்டு ஊசி, மற்றும் பல சோதனை பொருட்களை விவரித்தார் உள்ளன.

இது SQL ஊசி வகை, GET / தேடுதல் ஒரு உதாரணம் கருத்தில் மதிப்பு. இங்கே நீங்கள் அதைத் தேர்ந்தெடுத்து «ஹேக்» கிளிக் செய்ய வேண்டும். முன் பயனர் தோன்றும், மற்றும் ஒரு படம் தளத்தில் தேடி சரம் சாயல். வரிசைப்படுத்த திரைப்படம் நீண்ட இருக்க முடியும். ஆனால் 10. மட்டுமே உதாரணமாக உள்ளன, நீங்கள் அயர்ன் மேன் நுழைய முயற்சி செய்யலாம். அது படம், பின்னர் தளத்தில் வேலை மற்றும் டேபிள்களைச் இது கொண்டிருக்கும் சுட்டிக்காட்டும். இப்போது நாம், சிறப்பு எழுத்துக்கள் ஸ்கிரிப்ட் வடிகட்டிகள் என்றால் சரிபார்க்க குறிப்பிட்ட மேற்கோள் இல்லை. இதை செய்ய, முகவரி பட்டியில் 'சேர்ப்போம். " மேலும், இந்த படத்தின் தலைப்பு பிறகு செய்யப்பட வேண்டும். தளத்தில் ஒரு பிழை பிழை கொடுக்கும்: நீங்கள் உங்கள் SQL தொடரியல் பிழை உள்ளது; வரி 1, பாத்திரங்கள் இன்னும் சரியாக கையாளப்படவில்லை என்று இதில்தான் மணிக்கு அருகிலிருக்கும் '%' பயன்படுத்த 'சரியான தொடரியல் உங்கள் MySQL சேவையகம் பதிப்பு ஒத்துள்ளது என்று கையேடு பார்க்கலாம். எனவே நீங்கள் உங்கள் கோரிக்கையை பதிலாக முயற்சி செய்யலாம். ஆனால் நாம் முதல் துறைகளில் எண் கணக்கிட வேண்டும். & நடவடிக்கை = தேடல் - 2 http://testsites.com/sqli_1.php?title=Iron+Man 'ஆர்டர்: இது மேற்கோள் பிறகு அறிமுகப்படுத்தப்பட்டது இது இந்த உத்தரவின் மூலம், பயன்படுத்தப்படுகிறது.

இந்த கட்டளை மட்டுமே, உள்ளடக்கம் துறைகளில் எண் இரட்டை ஹைபன் மற்ற கோரிக்கைகள் நிராகரிக்கப்பட்டன வேண்டும் என்று சர்வர் சொல்கிறது 2. விட அதிகம் என்று படம், பற்றிய தகவல்களை காட்டுகிறது. இப்போது நாம் நீண்ட பிழை அச்சிடப்பட்ட என்பதால் அதிகமான முக்கியத்துவம் வைக்க, அந்த வரிசைப்படுத்த வேண்டும். இறுதியில், அது துறைகள் 7 இருக்கும் என்று மாறிவிடும்.

இப்போது அது பேஸ் வெளியே பயனுள்ள ஏதாவது கிடைக்கும் நேரம். சிறிது வடிவத்தில் அதை கொண்டு, முகவரி பட்டியில் கோரிக்கையை மாற்றுவதற்கான வேண்டும்: http://testsites.com/sqli_1.php?title=Iron+Man 'தொழிற்சங்க தேர்வு 1, தகவல் (), பயனர் (), 4, கடவுச்சொல்லை, 6, 7 பயனர்கள் இடமிருந்து - & நடவடிக்கை = தேடல். அதன் செயல்படுத்த ஆன்லைன் சேவைகளை ஒன்றைப் பயன்படுத்தி புரிந்து சின்னங்கள் எளிதாக மாற்றப்படக்கூடியது என்ற கடவுச்சொல்லை ஹாஷ்களைப், சரம் காட்ட முடியும் என்ற நம்பிக்கையை விளைவாக. ஒரு ஒரு சிறிய கற்பனை செய்யத்தூண்டியது மற்றும், நீங்கள் போன்ற தளத்தில் நிர்வாகி, வேறொருவரின் நுழைவு பெறலாம் ஒரு உள்நுழைவு ஒரு துறையில் பெயர் எடுத்துக்கொள்ளப்பட்டது.

தயாரிப்பு பயிற்சி எந்த ஒரு எடை இனங்கள் ஊசி வகையான உள்ளது. அது உண்மையான தளங்களில் நெட்வொர்க்கில் இந்தத் திறன்களில் பயன்பாடு ஒரு கிரிமினல் குற்றமாக இருக்கலாம் என்பதையும் நினைவில் கொள்ள வேண்டும்.

ஊசி மற்றும் PHP

ஒரு விதி, PHP குறியீடு மற்றும் பயனர் இருந்து வரும் தேவையான செயலாக்க கோரிக்கைகளை பொறுப்பு. எனவே, இந்த மட்டத்தில் நீங்கள் PHP இல் ரீதியான SQL- ஊசி எதிராக ஒரு பாதுகாப்பு உருவாக்க வேண்டும்.

முதலாவதாக, அது அவ்வாறு செய்ய தேவையான இது அடிப்படையில், ஒரு சில எளிய வழிமுறைகளை கொடுக்க வேண்டும்.

• தரவு எப்போதும் தரவுத்தளத்தில் வைக்கப்பட்டதாகவும் பதப்படுத்தப்பட்ட வேண்டும். இது ஏற்கனவேயுள்ள வெளிப்பாடுகள் பயன்படுத்தி, அல்லது கைமுறையாக கேள்விகளுக்கு ஏற்பாடு செய்வதன் மூலமாகவோ செய்ய முடியும். இதிலும்கூட, எண்மதிப்புகளும் தேவைப்படும் என்று வகை மாற்றப்பட்ட கணக்கில் எடுக்க வேண்டும்;
• அவாய்டேட் பல்வேறு கட்டுப்பாடு கட்டமைப்புகள் தூண்டியது.

இப்போது எல்-ஊசி எதிராக பாதுகாக்க இருப்பினும் MySQL வினவல்களைத் ஒடுக்குவதற்கான விதிகள் பற்றி கொஞ்சம்.

வினவுவதில் எந்த வெளிப்பாடுகள் வரை ஈர்ப்பதில் இது SQL முக்கிய சொற்கள் முதல் தரவைத் தனிப்பட்ட முறையில் முக்கியம்.

• அட்டவணை WHERE க்கு பெயர் =, Zerg தேர்ந்தெடுங்கள் *.

எந்த துறையில் பெயர், எனவே நீங்கள் மேற்கோள் அதை அடை வேண்டும் - இதை கட்டமைப்பில், அமைப்பு, Zerg என்று நினைக்கலாம்.

• SELECT என்பது * அட்டவணை எங்கிருந்து பெயர் = ', Zerg'.

மதிப்பு தன்னை மேற்கோள் கொண்டிருக்கும் எனினும், நேரங்களும் இருக்கின்றன.

• SELECT என்பது * அட்டவணை எங்கிருந்து பெயர் = 'ஐவரி கோஸ்ட்'.

இங்கே மட்டும் கோட் ஈ பகுதியாக கையாளுவதால், ஓய்வு ஒரு குழு, இது, நிச்சயமாக, இல்லை கருதலாம். எனவே, ஒரு பிழை ஏற்படுகிறது. பிறகு நீங்கள் திரையிடல் இதுபோன்ற தரவு வேண்டும். \ - இதை செய்ய, பின்சாய்வுக்கோடானது பயன்படுத்த.

• SELECT என்பது * அட்டவணை எங்கிருந்து பெயர் = 'பூனை ஈ \' இவாய்ர் '.

மேலே குறிப்பிட்டவை எல்லாம் வரிசைகள் குறிக்கிறது. நடவடிக்கை பல நடைபெறுகிறது என்றால், அது எந்த மேற்கோள் அல்லது குறைப்புக்கள் தேவையில்லை. எனினும், அவர்கள் பலவந்தமாக விரும்பிய தரவு வகை வழிவகுக்கும் வேண்டும் வேண்டும்.

துறையில் பெயர் backquotes மூடப்பட்டுள்ளது வேண்டும் என்று பரிந்துரைகள் உள்ளன. இந்த சின்னம் ஒரு டில்டு இணைந்து, விசைப்பலகை இடது பக்கத்தில் உள்ளது "~". இந்த மை துல்லியமாக உங்கள் முக்கிய இத்துறை பெயர் வேறுபடுத்தி முடியும் என்று உறுதி செய்வதாகும்.

தரவு டைனமிக் வேலை

பெரும்பாலும், கேள்விகளுக்கு பயன்படுத்தி தகவல் மாறக்கூடிய உருவாக்கப்படும் இருந்து எந்த தரவைப் பெற. உதாரணமாக:

• SELECT என்பது * அட்டவணை எங்கிருந்து எண் = '$ எண்'.

இங்கே, மாறி $ எண் துறையில் மதிப்பை தீர்மானிப்பது போன்ற கடந்து விட்டது. அது 'ஐவரி கோஸ்ட்' பெறுகிறார் என்றால் என்ன நடக்கும்? பிழை.

இந்த பிரச்சனையில் தவிர்க்க, நிச்சயமாக, "மேஜிக் மேற்கோள்" அமைப்புகளை சேர்க்க முடியும். ஆனால் இப்போது தரவு எங்கே தேவையான மற்றும் அவசியம் இல்லை திரையிடப்பட உள்ளன. மேலும், குறியீட்டு கையால் எழுதப்பட்ட என்றால், நீங்கள் அமைப்பு தன்னை விரிசல் எதிர்ப்பு உருவாக்க ஒரு சிறிய அதிக நேரம் செலவிட முடியும்.

ஒரு என்பது குறைத்தல் சுயாதீன சேர்க்கையையும் mysql_real_escape_string பயன்படுத்த முடியும்.

$ எண் = mysql_real_escape_string ($ எண்);

$ ஆண்டு = mysql_real_escape_string ($ ஆண்டு);

$ கேள்வி = "அட்டவணை செருக (எண், ஆண்டு, வர்க்க) மதிப்புகள் ( '$ எண்', '$ ஆண்டு', 11)".

குறியீடு மற்றும் தொகுதி அதிகரித்தது இன்னும் என்றாலும் சாத்தியமுள்ள அது மிகவும் பாதுகாப்பானதாக வேலை செய்யும்.

பெட்டிகள்

பெட்டிகள் - குறிப்பான்கள் ஒரு வகையான அமைப்பு இந்த நீங்கள் ஒரு சிறப்பு செயல்பாடு பதிலாக வேண்டும் இடத்தில் உள்ளது எனக் கொள்கிறது தெரிவித்தார். உதாரணமாக:

$ மாநில = $ mysqli-> தயார் ( "தேர்ந்தெடுக்கவும் மாவட்ட எண் எங்கிருந்து பெயர் =?");

$ Sate-> bind_param ( "கள்", $ எண்);

$ Sate-> இயக்க ();

குறியீட்டின் இந்தப் பிரிவானது பயிற்சி கோரிக்கை டெம்ப்ளேட் மற்றும் எடுக்கும் பின்னர் மாறி எண் இணைக்கும், மற்றும் அதை இயக்கும். இந்த அணுகுமுறை நீங்கள் கேள்வி செயலாக்கம் மற்றும் அதன் செயல்படுத்த பிரித்து அனுமதிக்கிறது. இதனால், இது தீங்கிழைக்கும் குறியீடு பயன்பாட்டில் இருந்து சேமிக்கப்படும் முடியும் SQL- உள்ளன.

என்ன காட்டிலும் ஒரு தாக்குபவர்

பாதுகாப்பு அமைப்பு - புறக்கணிக்கப்பட்ட முடியாது ஒரு மிக முக்கியமான காரணி. நிச்சயமாக, ஒரு எளிய வணிக அட்டை தளத்தில் மீட்க எளிதாக இருக்கும். அது ஒரு பெரிய போர்டல், சேவை, மன்றம் என்ன செய்வது? நீங்கள் பாதுகாப்பு பற்றி நினைக்கவில்லை அதன் பின் விளைவுகள் என்ன?

முதலாவதாக, ஒரு ஹேக்கர் இருவரும் அடிப்படை முழுமையை உடைத்து முற்றிலும் நீக்க முடியும். மற்றும் தள நிர்வாகி உங்களுடைய hoster ஒரு காப்பு செய்யாவிட்டால், நீங்கள் கடினமாக முறை வேண்டும். அனைத்திற்கும் மேலாக, ஆகாத, ஒரே தளத்திற்கே விரிசல், அதே சர்வரில் இடுகையிட்டனர் செல்ல முடியும்.

அடுத்து பார்வையாளர்கள் தனிப்பட்ட தகவல்களின் திருட்டு ஆகும். எப்படி பயன்படுத்துவது - எல்லாம் ஒரு ஹேக்கர் கற்பனையை வரையறுக்கப்பட்டுள்ளது. ஆனால் எந்த வழக்கில், விளைவுகள் மிகவும் இனிமையான இருக்க முடியாது. குறிப்பாக நிதி தகவலும் அதில் இல்லை.

மேலும், தாக்குதல் தகவல் உங்களை ஒன்றாக்க முடியும் பின்னர் அதன் திரும்ப பணம் பறி.

தள நிர்வாகி சார்பாக பிழை தகவல் பயனர்கள் உங்களுக்கு இல்லை நபர், மேலும் சாத்தியமான மோசடி உண்மைகளை போன்ற எதிர்மறை விளைவுகளை இருக்க முடியும்.

முடிவுக்கு

இந்த கட்டுரை எல்லா தகவலும் தகவல் நோக்கங்களுக்கு மட்டுமே வழங்கப்படுகிறது. அது மட்டும் அது பாதிப்புகள் கண்டறியும் போது தங்கள் சொந்த திட்டங்கள் சோதிக்க மற்றும் அவற்றை வேண்டும் பயன்படுத்தவும்.

ரீதியான SQL- ஊசி நடத்த எப்படி உத்திகளை ஒழுங்குபடுத்தி மேலும் ஆழமான ஆய்வு, அது SQL மொழியானது உண்மையான ஆராய்ச்சி திறன்களை மற்றும் அம்சங்கள் தொடங்க வேண்டும். தொகுக்கப்பட்ட கேள்விகளுக்கு, வார்த்தைகளின், தரவு வகைகள் மற்றும் அது அனைத்து வந்துள்ளது.

மேலும் PHP மற்றும் HTML உறுப்புகள் செயல்பாடுகளை செயல்படும் புரிந்து இல்லாமல் செய்ய முடியாது. முதன்மை பயன்படுத்த உட்செலுத்துதலுக்கான பாதிக்கப்படக்கூடிய புள்ளிகள் - ஒரு முகவரி வரி, மற்றும் பல்வேறு தேடல் துறையில். கற்றல் PHP செயல்பாடுகளை, செயல்படுத்தல் மற்றும் அம்சங்கள் முறை தவறுகள் தவிர்க்க எப்படி கண்டுபிடிக்க முடியும்.

பல ஆயத்த மென்பொருள் கருவிகள் முன்னிலையில் தளத்தில் அறியப்பட்ட பாதிப்புகள் ஆழமான பகுப்பாய்வு அனுமதிக்கும். மிகவும் பிரபலமான தயாரிப்புகளில் ஒன்று - காளி வரைந்தனர். தளத்தில் வலிமை விரிவான பகுப்பாய்வு முன்னெடுக்க முடியும் என்று கருவிகள் மற்றும் திட்டங்கள் பெரிய அளவில் கொண்டிருக்கும் லினக்ஸ் அடிப்படையிலான இயங்கு, இந்த படம்.

என்ன நீங்கள் தளத்தில் ஹேக் எப்படி அறிந்து கொள்ள வேண்டும்? இது மிகவும் எளிய - இது உங்கள் திட்டம் அல்லது வலைத்தளத்தில் சாத்தியமான பாதிப்புகள் கவனமாக இருக்க வேண்டும். அது பணம் பயனர் தரவை தீங்கிழைப்பவர் இணக்கம் ஏற்படுகிறது அங்கு ஆன்லைன் கட்டணம், ஒரு ஆன்லைன் கடை குறிப்பாக.

தற்போதுள்ள தகவல் பாதுகாப்பு பணியாளர்கள் தொழில் ஆய்வு திட்ட அளவைகள் மற்றும் ஆழம் பல்வேறு தளத்தில் பார்க்க முடியும். ஒரு எளிய HTML-உட்செலுத்திகளை இருந்து சமூக பொறியியல் மற்றும் ஃபிஷிங் தொடங்கி.