Jump to content

Slq Injection

André Sousa

By André Sousa
in Bases de Dados

 Share

Recommended Posts

André Sousa void

André Sousa

Posted
Posted

Boas...Tenho algumas duvidas acerca deste tema. Já li os tuts , mas nao entendo como por isto a funcionar. é colocando no login e pass , aqueles codigos que tão nos tuts?? O Slq Injection resulta em host grátis ?

Espero que me ajudem 👍

Fiko á espera de boas ajudas 😉

karva boolean user

karva

Posted
Posted

Pa, hoje em dia ha muitas medidas anti-injeccoes de sql, portanto e bastante improvavel que consigas, além de que isso não deve ser legal, portanto nao pode tar aqui no fórum...

Proud LEIC-A@IST student!

Gurzi boolean user

Gurzi

Posted
Posted

Olá 👍

Primeiro post de 2007, primeiro que tudo quero dizer que o Moderador está de volta, cabeça limpa e nada melhor a dizer no inicio de um novo ano, 2007.

Gurzi is back 😉

Bem, vamos lá ajudar-te..

SQL Injection nada tem a ver com o host ser gratís ou não.. SQL injection é feito através da comunicação com a base de dados, vou explicar em PHP.

Imagina que a tua query à base de dados é assim .

statement := "SELECT * FROM data WHERE id = " + a_variable + ";"

o a_variabel vai ser algo que vem de $_POST , ou seja, tudo o que um utilizador introduzir naqueles campos de login por exemplo , todo o texto introduzido vai aparecer aí..

Ok, sao todos teus amigos, ninguem percebe nada de informática.. mas.........

Imagina que aparece o Diabo de 2006 e poe isto..

1;DROP TABLE users

Se ele puser isso no campo do login, automaticamente a query fica assim :

SELECT * FROM data WHERE id = 1; DROP table USERS

Ou seja, Normalmente os ids são AUTO_INCREMENT logo é 100% garantido que exista o nº1 e asseguir faz-te um drop table, e voilá, já foste 😉 Acabaste de perder a tabela Users.

Mas existem maneiras de defesas...

addslashes();

set_magic_quotes_gpc(1);

entre outras..

Podes ver em magic_quotes_gpc[/link]

Por isso, primeiro precisas de saber o nome da tabela que o gajo está a usar, depois o site precisa de estar desprotegido a isso(A maior parte estão, garanto-te  ?)

Abraço

Feliz 2007

ptrci void

ptrci

Posted
Posted

O SQL Injection funciona em páginas asp. E servidores microsoft.

Para se protegeram basta desactivar a aceitação de : ' ; =  no campos.

Mas não é só isto. É preciso fazer uma pesquisa de falhas nas base de dados que é utilizados.

Em php é diferente é conhecido como php injection.

Uma página nacional que ainda tem esse problema é a página de venda de produtos de segurança da clix. Apesar de já ter avisado em vez de corrigirem esse problema, apenas bloquearam o utilizador de acesso a não permitir fazer downloads.

Peço desculpa mas não vou explicar como se faz um sql injection, por ser esta um pratica ilegal .

Gurzi boolean user

Gurzi

Posted
Posted

O SQL Injection funciona em páginas asp. E servidores microsoft.

Para se protegeram basta desactivar a aceitação de : ' ; =  no campos.

Mas não é só isto. É preciso fazer uma pesquisa de falhas nas base de dados que é utilizados.

Em php é diferente é conhecido como php injection.

Uma página nacional que ainda tem esse problema é a página de venda de produtos de segurança da clix. Apesar de já ter avisado em vez de corrigirem esse problema, apenas bloquearam o utilizador de acesso a não permitir fazer downloads.

Peço desculpa mas não vou explicar como se faz um sql injection, por ser esta um pratica ilegal .

Isso não tem lógica nenhuma e nunca ouvi falar em tal coisa..

PHP Injection ? Então e porque nao ASP injection ??

...

Nunca ouvi tal expressão..

QuickFire boolean user

QuickFire

Posted
Posted

O SQL Injection funciona em páginas asp. E servidores microsoft.

Para se protegeram basta desactivar a aceitação de : ' ; =  no campos.

Mas não é só isto. É preciso fazer uma pesquisa de falhas nas base de dados que é utilizados.

Em php é diferente é conhecido como php injection.

Uma página nacional que ainda tem esse problema é a página de venda de produtos de segurança da clix. Apesar de já ter avisado em vez de corrigirem esse problema, apenas bloquearam o utilizador de acesso a não permitir fazer downloads.

Peço desculpa mas não vou explicar como se faz um sql injection, por ser esta um pratica ilegal .

Também nunca ouvi falar de PHP Injection 😉 Sempre que ouvi ou li sobre isso foi sobre SQL Injection 👍 E nunca li nada sobre ASP, tudo se aplicava ao PHP 😉

Knitter unsigned user

Knitter

Posted
Posted

Independentemente da linguagem em que estão as páginas/sites o objectivo é, através de SQL, aceder à base de dados.

Podem chamar-lhe PHP Injection ou SQL Injection ou até ASP Injection, se quiserem até podem meter JSP Injection ao barulho, o principio é sempre o mesmo: Usar SQL para explorar falhas no sistema.

Claro que a linguagem "server side" a usada pode facilitar ou dificultar mas no fundo é tudo o uso de SQL.

Quanto a experimentares, instala um sistema no teu computador e invade esse, não é ilegal e sempre podes aprender. Agora desaconselho vivamente o uso do que aprenderes em sites sem teres a devida autorização. Não é ético, não é legal, e se nada disso te importa lembra-te apenas que na web não te podes esconder, podes dissimular mas nunca esconder.

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.