Ir para conteúdo
  • Anúncios

    • AiroN

      Anuncie no L2JBrasil

      Deseja anunciar aqui no fórum, no Top L2JBrasil ou em nossa página no Facebook? Confira: www.l2jbrasil.com/anunciar
    • Grundor

      Método de login alterado   08-10-2017

      Com a atualização do fórum para versão  IPB 4.2 não é mais possível fazer login usando username, ao invés disso você deve usar e-mail ou seu Display Name (nome como é exibido no forum).      
    • AiroN

      Tenha seu clube formalmente no L2JBrasil!   18-10-2017

      Você tem amigos que estão sempre juntos contigo na alegria e na tristeza, na saúde e na doença, em todos os desenvolvimentos de suas vida, no pvp, nas quests? rsrs   Monte seu clube formalmente na L2J Brasil!
      Criar um clube é muito fácil, basta você entrar nesse tópico e se interar do assunto:    Dominem o mundo!


      Atenciosamente, Natã Felipe
      Administração L2jBrasil.
Entre para seguir isso  
-Mark-

[Máteria] SQL Injection

Recommended Posts

Bom, muita gente tem duvidas sobre PHP Injection, provavelmente a vulnerabilidade mais comum entre defacers/owners.

A vulnerabilidade acontece por desconhecimento do webmaster, ou por distração, eles colocam ‘includes’ para ajudar na criação do seu site sem fazer nenhuma verificação das ’strings’

Um exemplo de um site vulneravel, com 3 partes em uma tabela:

include(’topo.php’);

include(’menu.php’);

include($page);

Existem várias strings, a mais comum é page..

Então um endereço ficticio: http://www.alvo.com.br/index.php?page=novidades.php

Neste exemplo ele carregaria a página novidades.php do site.. Se ela for vulneravel dá para ‘injetar’ páginas maliciosas que executam comandos na maquina que roda o site (por isso o nome PHP Injection)

 

Fonte: Google.

isso e só uma Máteria explicativa.

Compartilhar este post


Link para o post
Compartilhar em outros sites

ixi, ficaria surpreso com a quantidade de programas desenvolvidos...

para o mau usso, hoje a maioria e de PHP Injection, SQL Injection ja esta ficando

um pouco para Traz.

Compartilhar este post


Link para o post
Compartilhar em outros sites

tem a SQL injection que Inseri comandos na QUERY do código, eu uso como base! isso para poder cadastrar acc no meu Banco!

 

function Injetor($login){
     $encontrado = 0;
     $banidos = array(" select","select "," insert"," update","update "," delete","delete "," drop","drop "," destroy","destroy "," grant","grant "," show","show "," table","table "," view","view ");
     for ($i=0; $i<sizeof($banidos); $i++){
        if (substr_count($login,$banidos[$i])!=0) $encontrado = 1;
     }
     $validos = "a[email protected]-";
     for($i=0; $i<strlen($login); $i++){
        $letra = substr($login,$i,1);
        if(substr_count($validos,$letra)==0) $encontrado = 1;
     }
     return ($encontrado);
  }

Compartilhar este post


Link para o post
Compartilhar em outros sites

só sei q essas paradas de Ranks/Tops em site..

dexa brexas no bd..

amigos ja me falaram isso..

 

nem uso ligação do site com o servidor..

apenas pra infors e talz..

Compartilhar este post


Link para o post
Compartilhar em outros sites
só sei q essas paradas de Ranks/Tops em site..

dexa brexas no bd..

amigos ja me falaram isso..

 

nem uso ligação do site com o servidor..

apenas pra infors e talz..

 

Isso é falta de informação por parte sua e de seu amigo.

 

Se procurar um pouco, saberia que não é preciso liberar o acesso remoto ao mysql para todos os IPs.

Há como você liberar para somente um IP, que seria o da sua hospedagem de site.

 

Assim, a seguraça que você terá em usar o site no dedicado é a mesma que usar o site externo.

Seus amigos que te falaram estão precisando estudar um pouco sobre banco de dados.

 

Até mais.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Para saber se uma string é válida ou não (Em questão de SQL Injection), basta utilizar o código:

 

function sql_injection($string) {

if(eregi('http|select|insert|update|delete|drop|destroy|grant|show|table|view|www|http
s|ftp', $string)) {
	return false;
}

return true;
}

echo sql_injection('dudu1533') ? 'String dudu1533: OK' : 'String dudu1533: ERRO';
echo sql_injection('dudu1533select') ? 'String dudu1533select: OK' : 'String dudu1533select: ERRO';
echo sql_injection('dudu1533delete') ? 'String dudu1533delete: OK' : 'String dudu1533delete: ERRO';

 

 

Agora se quiser fazer com que a string seja formatada e imune de sql injection, utilize esta:

 

function sql_injection_format($string) {

return addslashes(htmlentities($string));
}

echo sql_injection_format('dudu153<');

 

CRÉTIDOS: _Dudu_1533

 

Até mais ^_^

Editado por _Dudu_1533

Compartilhar este post


Link para o post
Compartilhar em outros sites

na linha que faz isso dentro do index.php:

 

$pg = $_GET['pg'];

 

vai ficar assim usando a primeira funcao:

 

$pg = sql_injection($_GET['pg']);

 

ou usando a segunda:

 

$pg = sql_injection_format($_GET['pg']);

Compartilhar este post


Link para o post
Compartilhar em outros sites
Isso é falta de informação por parte sua e de seu amigo.

 

Se procurar um pouco, saberia que não é preciso liberar o acesso remoto ao mysql para todos os IPs.

Há como você liberar para somente um IP, que seria o da sua hospedagem de site.

 

Assim, a seguraça que você terá em usar o site no dedicado é a mesma que usar o site externo.

Seus amigos que te falaram estão precisando estudar um pouco sobre banco de dados.

 

Até mais.

 

Apenas disse o q eu ouvi..

perguntei o pq dele nao usar Top PVP/PK no servidor dele..(conhecido por sinal)

porque o msmo atualizava semanalmente os tops no Site..

 

ele disse 'Usar Tops, deixa brechas no BD'.

 

mais vlw pela infor.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

Entre para seguir isso  




Anuncie em nossa página no Facebook!
Confira o regulamento.
Contate-nos através do e-mail: [email protected] para mais informações.


  • Quem Está Navegando

    Nenhum usuário registrado visualizando esta página.

×