Assalamualaikum...salam sejahtera nak dan salam satu malaysia..Hari Saya Mahu Kongsikan Apa Itu SQL-Injection Bugs .. bende nie orang Pro Jer Buat :3 ...maaf la kalo orang lain pandai :* ...ok
Saya Mencuba Untuk Sign Up Satu Website.
Halaman pendaftaran mahu soalan rahsia dan jawapan rahsia.Untuk soalan rahsia, saya meletakkan "What Is Colour Of Aunt Haliza Cat". Ia mengadu tentang apostrophe dalam soalan. OK,Fine. Saya deleted that apostrophe.
Untuk jawapan rahsia, saya meletakkan "Aunt Haliza Cat Don't Have Any Cat."
Dan saya mendapat ini:
1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 't have a cat', 'male')' at line 1
o.O Itu error ya kak :*
Ini bermakna bahawa programmer itu mengambil rentetan yang mereka dapat dari pengguna (iaitu GET atauPOST parameter) dan concatenating mereka bersama dengan cebisan lain dan keping SQL untuk menjana penyata SQL.
Sebagai contoh, dalam PHP dengan PostgreSQL:
$x = pg_query("select * from accounts where name='" . $_GET["name"] . "'");
(Bagi pengaturcara bukan-PHP: "."is the string concatenation operator).
Malangnya ia lubang keselamatan yang sangat besar yang dikenali sebagai SQL Injection.
Jadi, sebagai contoh, jika pengguna ini sebagai nama:
foo'; delete from accounts --
pernyataan SQL yang dilaksanakan akan:
select * from accounts where name='foo'; delete from accounts --'
which will do exactly what it looks like: it will delete the entire table of accounts.
Ini adalah satu masalah yang sangat biasa: Michael Sutton melakukan projek penyelidikan kecil dan mendapati bahawa11.3% daripada aplikasi web mempunyai kelemahan suntikanSQL.
Itu Sahaja Dari Saya o.O .
Ustaz Hacker Rileks Crew
Subscribe to:
Post Comments (Atom)
0 comments:
Post a Comment