• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

10 mensagens neste tópico

Boas...Tenho algumas duvidas acerca deste tema. Já li os tuts , mas nao entendo como por isto a funcionar. é colocando no login e pass , aqueles codigos que tão nos tuts?? O Slq Injection resulta em host grátis ?

Espero que me ajudem :thumbsup:

Fiko á espera de boas ajudas ;)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

eu entendi, mas eu queria mesmo era entrar num forum, invadir por assim dizer...

Como fazer?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Pa, hoje em dia ha muitas medidas anti-injeccoes de sql, portanto e bastante improvavel que consigas, além de que isso não deve ser legal, portanto nao pode tar aqui no fórum...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Olá :thumbsup:

Primeiro post de 2007, primeiro que tudo quero dizer que o Moderador está de volta, cabeça limpa e nada melhor a dizer no inicio de um novo ano, 2007.

Gurzi is back ;)

Bem, vamos lá ajudar-te..

SQL Injection nada tem a ver com o host ser gratís ou não.. SQL injection é feito através da comunicação com a base de dados, vou explicar em PHP.

Imagina que a tua query à base de dados é assim .

statement := "SELECT * FROM data WHERE id = " + a_variable + ";"

o a_variabel vai ser algo que vem de $_POST , ou seja, tudo o que um utilizador introduzir naqueles campos de login por exemplo , todo o texto introduzido vai aparecer aí..

Ok, sao todos teus amigos, ninguem percebe nada de informática.. mas.........

Imagina que aparece o Diabo de 2006 e poe isto..

1;DROP TABLE users

Se ele puser isso no campo do login, automaticamente a query fica assim :

SELECT * FROM data WHERE id = 1; DROP table USERS

Ou seja, Normalmente os ids são AUTO_INCREMENT logo é 100% garantido que exista o nº1 e asseguir faz-te um drop table, e voilá, já foste ;) Acabaste de perder a tabela Users.

Mas existem maneiras de defesas...

addslashes();

set_magic_quotes_gpc(1);

entre outras..

Podes ver em magic_quotes_gpc[/link]

Por isso, primeiro precisas de saber o nome da tabela que o gajo está a usar, depois o site precisa de estar desprotegido a isso(A maior parte estão, garanto-te  :hmm:)

Abraço

Feliz 2007

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O SQL Injection funciona em páginas asp. E servidores microsoft.

Para se protegeram basta desactivar a aceitação de : ' ; =  no campos.

Mas não é só isto. É preciso fazer uma pesquisa de falhas nas base de dados que é utilizados.

Em php é diferente é conhecido como php injection.

Uma página nacional que ainda tem esse problema é a página de venda de produtos de segurança da clix. Apesar de já ter avisado em vez de corrigirem esse problema, apenas bloquearam o utilizador de acesso a não permitir fazer downloads.

Peço desculpa mas não vou explicar como se faz um sql injection, por ser esta um pratica ilegal .

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O SQL Injection funciona em páginas asp. E servidores microsoft.

Para se protegeram basta desactivar a aceitação de : ' ; =  no campos.

Mas não é só isto. É preciso fazer uma pesquisa de falhas nas base de dados que é utilizados.

Em php é diferente é conhecido como php injection.

Uma página nacional que ainda tem esse problema é a página de venda de produtos de segurança da clix. Apesar de já ter avisado em vez de corrigirem esse problema, apenas bloquearam o utilizador de acesso a não permitir fazer downloads.

Peço desculpa mas não vou explicar como se faz um sql injection, por ser esta um pratica ilegal .

Isso não tem lógica nenhuma e nunca ouvi falar em tal coisa..

PHP Injection ? Então e porque nao ASP injection ??

...

Nunca ouvi tal expressão..

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O SQL Injection funciona em páginas asp. E servidores microsoft.

Para se protegeram basta desactivar a aceitação de : ' ; =  no campos.

Mas não é só isto. É preciso fazer uma pesquisa de falhas nas base de dados que é utilizados.

Em php é diferente é conhecido como php injection.

Uma página nacional que ainda tem esse problema é a página de venda de produtos de segurança da clix. Apesar de já ter avisado em vez de corrigirem esse problema, apenas bloquearam o utilizador de acesso a não permitir fazer downloads.

Peço desculpa mas não vou explicar como se faz um sql injection, por ser esta um pratica ilegal .

Também nunca ouvi falar de PHP Injection ;) Sempre que ouvi ou li sobre isso foi sobre SQL Injection :thumbsup: E nunca li nada sobre ASP, tudo se aplicava ao PHP ;)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Independentemente da linguagem em que estão as páginas/sites o objectivo é, através de SQL, aceder à base de dados.

Podem chamar-lhe PHP Injection ou SQL Injection ou até ASP Injection, se quiserem até podem meter JSP Injection ao barulho, o principio é sempre o mesmo: Usar SQL para explorar falhas no sistema.

Claro que a linguagem "server side" a usada pode facilitar ou dificultar mas no fundo é tudo o uso de SQL.

Quanto a experimentares, instala um sistema no teu computador e invade esse, não é ilegal e sempre podes aprender. Agora desaconselho vivamente o uso do que aprenderes em sites sem teres a devida autorização. Não é ético, não é legal, e se nada disso te importa lembra-te apenas que na web não te podes esconder, podes dissimular mas nunca esconder.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Pois é tive a rever e estava a fazer confusão com outras coisas que se integram com o SQL injection.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora