Toplam Üye:
32638
Aktif Üye:
0
Aktif Ziyaretçi:
908
Nuke sentinelin sorgulama ..(4687 okuma, 0 yanıt) dizin CHMOD ları değişmiy ..(7895 okuma, 6 yanıt) 3.3Patch Hakkında Versiyo ..(3282 okuma, 0 yanıt) nuke sentinel 2.6.01 kura ..(9590 okuma, 10 yanıt) Nuke Sentinel ..(4329 okuma, 2 yanıt) Nuke 8.0 Guvenlik ..(4857 okuma, 2 yanıt) Php Nuke 8.0 Güvenlik asa ..(3409 okuma, 0 yanıt) php nuke 8 kurdum güvenli ..(9930 okuma, 10 yanıt) Arkadaslar Lütfen Yardımc ..(9162 okuma, 9 yanıt) Site hacklendi sanırım... ..(5121 okuma, 2 yanıt) Hadi Protector Kuralım ..(40510 okuma, 45 yanıt) Bu bir saldırmı ..(8052 okuma, 7 yanıt) siteme virüs girmis ..(8178 okuma, 6 yanıt) Sitedekileri atmak ..(5130 okuma, 2 yanıt) Kötü botları engellemek. ..(11030 okuma, 10 yanıt) 2 dakika içinde 5 farklı ..(7092 okuma, 5 yanıt) index atılamayan site yap ..(6962 okuma, 5 yanıt) Sanal Klavye Uygulamasi H ..(5244 okuma, 2 yanıt) js trojandownloader.agent ..(5677 okuma, 4 yanıt) Güvenlik konusunda yardım ..(7383 okuma, 8 yanıt) Sunucu firması websiteme ..(4878 okuma, 2 yanıt) siteme saldirimi olmus? ..(5853 okuma, 4 yanıt) Protector bir işe yaramıy ..(13661 okuma, 15 yanıt) Nuke Sentinel 242 pl5 ( 7 ..(26262 okuma, 25 yanıt) hacklendim mi? ..(5920 okuma, 4 yanıt) Güvenli prefix değiştirme ..(75449 okuma, 108 yanıt) 7.6 ya 3.2 pack nasıl yap ..(4392 okuma, 1 yanıt) Site neden Google i banla ..(4134 okuma, 1 yanıt) PhpMyadminden toplu isim ..(6147 okuma, 4 yanıt) sentinel güvenlik sistemi ..(7175 okuma, 6 yanıt) Sitemdeki Bu Acik Neyden ..(7219 okuma, 6 yanıt) Saldırı yedim BW dolmuş. ..(9654 okuma, 9 yanıt) sürümünüz < 7.8 ise s ..(6936 okuma, 5 yanıt) forum için kod yazma yasa ..(4853 okuma, 2 yanıt) Arkadaşlar hacklendim seb ..(4638 okuma, 2 yanıt) KENDİ TOLBARIMIMDAN AYDA ..(5196 okuma, 3 yanıt) Bütün indexler değişmiş, ..(4711 okuma, 3 yanıt) Çok sorulu, çok şıklı ank ..(3425 okuma, 0 yanıt) Protector' deki Host İs ..(3438 okuma, 0 yanıt) php nuke dosyaları şifrel ..(7465 okuma, 7 yanıt) index dosyasının chmod k ..(4012 okuma, 1 yanıt) AdminBox-1.0.3 Kurulumund ..(3589 okuma, 0 yanıt) gec saatlerde hızlanan tr ..(7763 okuma, 8 yanıt) Prefix değiştirmede coppe ..(4432 okuma, 1 yanıt) Nuke Güvenlik ..(157675 okuma, 257 yanıt) bütün index lere iframe e ..(18465 okuma, 24 yanıt) Nuke Sentinel Google bot ..(5644 okuma, 4 yanıt) Siteme Sürekli Üye Oluyor ..(23968 okuma, 28 yanıt) Yeni iframe virüsler kodl ..(18706 okuma, 23 yanıt) Nuke Versiyonları Hakkın ..(3732 okuma, 0 yanıt)
Netopsiyon Online: Forums
Netopsiyon Online :: Başlık görüntüleniyor - Sql Enjeksiyon açığı
Önceki başlık :: Sonraki başlık
Yazar
Mesaj
Regal Mesaj: 100+
Kayıt: Oct 28, 2006 Mesajlar: 156 Konum: kullan.net
Tarih: 2007-08-24, 12:48:22 Mesaj konusu: Sql Enjeksiyon açığı
Sql Enjeksiyon açığı nedir nasıl kapatırız. ?
Başa dön
Bu Site Google Adsense ile Gelir Elde Ediyor
Tarih: 2024-05-05, 22:31:46 Mesaj konusu: Forum Arası Reklamlar
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-08-24, 13:34:33 Mesaj konusu:
bu açık ile dışarıdan veritabanına kendi istekleri doğrultusunda sorgu gönderilir. örneğin web sitende admin ve diğer kullanıcıları tek tabloda tutuyorsun. işlem yapmak için yapman gerken sorgu
select * uyeler where sifre='sifre' and kullaniciadi='admin'
bu sorgu ile admine griş yaptırtırım ama dışardan öyle bir kod gönderirlerki (genelde uyelik sistemlerinde yada search alanlarından) sifre ve admin kullanıcı adı devre dışı kalıyor. eleman böylelikle üye yada admin olmadan giriş yapıyor. şimdi şifre isteyen yere OR ''=' ve kullanıcı ismi yerine ' OR ''=' yazarsam yeni sorgu bakalım ne olucak.
select * uyeler where sifre='OR ''='' and kullaniciadi='' OR ''=''
işte sana tehlikeli bir sql sorgusu. bununla kullanıcı adı ve şifreye gerek kalmadan giriş yapılabilir. en genel anlatım üyelik üzerinden olduğundan öyle örnek verdim.yada kullanıcı adı ile 123456'/* gönderirlerse ne olur, hemen bakalım :)
select * uyeler where sifre='123456'/* and kullaniciadi='' OR ''=''
php de /* sonrası malum dikkate alınmaz ve bu sorguda şifre 123456 olan herhangi biri yerine girilebilir. aynı şey kullanıcıadı içinde geçerlidir
gelelim nasıl korunuruz.
öncelikle bir form varsa elimizde bu formdan gönderilen değerleri süzgeçten geçirmeliyiz örneğin
$istenmeyen = array("'","/","*");
foreach ($istenmeyen as $a)
if (strstr ($_POST['kullanıciadi'] ,$a){
die;
}
//pek güzel olmadı ama :))
yani kullanıcı adını doldururken bu işaretlerden birini girerlerse scripti durdururuz.
Başa dön
serserialper21 Mesaj: 1000+
Kayıt: Jan 02, 2006 Mesajlar: 1660 Konum: Diyarbakır
Tarih: 2007-08-24, 13:51:17 Mesaj konusu:
Korunma çok basit
Search Modulunu pasif'leyin
Am Siz yok ben search modulunu kullanmak istiyorum derseniz o zaman 3.2 patch'ı indirin search modulunu sadece patch'leyin sorun kalmaz
Aynı zamanda admin scure de bu acıgı kapatmaktadır
Ve yine aynı zamanda perfix'lerin değişim olmasıda tablola'lara iletişimi kesmektedir
Yani açığı kapamak ıcın çok yol war
Başa dön
KISASLI Mesaj: 300+
Kayıt: May 19, 2007 Mesajlar: 423 Konum: Niye Bize mi Gelecen
Tarih: 2007-08-25, 11:32:36 Mesaj konusu:
hacker trap var onu ükleyerekte kapata bilirsin en iyisi hepsini yap :)
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-08-26, 10:21:51 Mesaj konusu:
mainfile.php nin en üstüne
Kod:
foreach($_REQUEST as $saho=>$netopsiyon) {
$_REQUEST[$saho]=trim(addslashes(htmlspecialchars(mysql_real_escape_string(
$_REQUEST[$saho]))));
$_REQUEST[$saho]=str_replace(array('or','union','and','\'','"','http://','https://','ftp://'),'',strtolower($_REQUEST[$saho]));
}
gibi ekleyip epey bir eden önlersiniz kendinizi sql rfi
Başa dön
Regal Mesaj: 100+
Kayıt: Oct 28, 2006 Mesajlar: 156 Konum: kullan.net
Tarih: 2007-08-26, 10:54:31 Mesaj konusu:
Tşkler.Saho abi.Ama nuke için sormadım başka bir script kullanıyorum onda vardı kapatttım.Saolun
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-08-27, 20:22:57 Mesaj konusu:
tamamda bu da nuke için değil zaten php ile çalışan herşeye koyabilirsin bunu
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-08-28, 21:35:04 Mesaj konusu:
bu $_REQUEST[$saho] değişken sorguyu tutuyormu kendiliğinden yoksa değişkenin anahtarını forma göre ayarlamamızmı gerekiyor..
Başa dön
Bu Site Google Adsense ile Gelir Elde Ediyor
Tarih: 2024-05-05, 22:31:46 Mesaj konusu: Forum Arası Reklamlar
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-08-29, 09:10:35 Mesaj konusu:
otomatik ne geliyorsa tüm hepsine
session,get,post tan gelen tüm verilere otomatik işlem yapıyor ;)
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-09-03, 22:30:42 Mesaj konusu:
Fatal error: Call to undefined function: mysql_real_escape_string() in ...
hatasını veriyo saho, sorun nedir acaba?..
Başa dön
serkanyilmaz303 Mesaj: 100+
Kayıt: Aug 14, 2005 Mesajlar: 140 Konum: Ankara
Tarih: 2007-09-03, 23:50:17 Mesaj konusu: Re: Sql Enjeksiyon açığı
PHP Sürümünden kaynaklanıyor olabilir bende sorun çıkmadı(PHP version 5.1..)
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-09-04, 22:35:40 Mesaj konusu:
mysql_real_escape_string fonksiyonu php kütüphanenizde yok demek ki
kodu şu şekilde düzeltelim
Kod:
oreach($_REQUEST as $saho=>$Netopsiyon) {
if(function_exists('mysql_real_escape_string'))
$_REQUEST[$saho]=trim(addslashes(htmlspecialchars(mysql_real_escape_string(
$_REQUEST[$saho]))));
else
$_REQUEST[$saho]=trim(addslashes(htmlspecialchars($_REQUEST[$saho])));
$_REQUEST[$saho]=str_replace(array('or','union','and','\'','"','http://','https://','ftp://'),'',strtolower($_REQUEST[$saho]));
}
Başa dön
seyranli Mesaj: 1000+
Kayıt: May 16, 2005 Mesajlar: 3511 Konum: oradan
Tarih: 2007-09-04, 23:11:26 Mesaj konusu:
veritabanına bağlanmazsanız mysql_real_escape_string çalışmaz, adı üstünde komutun
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-09-05, 10:58:49 Mesaj konusu:
gündüz tamamda
Fatal error: Call to undefined function: mysql_real_escape_string() in ...
hatası vermiş fonksiyon tanımlı değil demiş fonksiyon tanımlımı diye test ettirdim tanımlıysa php nin kütüphanesinde fonksiyonu işlemlere dahil etcek yoksa diğer yönden sql e bağlı değil ise
mysql connect access denied user@localhost yada apache@localhost gibi bir hata verirdi :) ama burada fonk. tanımlı değil demiş (:
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-09-05, 22:42:45 Mesaj konusu:
saho yine hata verdi. mysql_real_escape_string i kaldırdıktan sonra çalıştı. sanırım serverdan kaynaklı bir problem..
Başa dön
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız