Toplam Üye:
32638
Aktif Üye:
0
Aktif Ziyaretçi:
681
Nuke sentinelin sorgulama ..(4682 okuma, 0 yanıt) dizin CHMOD ları değişmiy ..(7875 okuma, 6 yanıt) 3.3Patch Hakkında Versiyo ..(3278 okuma, 0 yanıt) nuke sentinel 2.6.01 kura ..(9584 okuma, 10 yanıt) Nuke Sentinel ..(4316 okuma, 2 yanıt) Nuke 8.0 Guvenlik ..(4848 okuma, 2 yanıt) Php Nuke 8.0 Güvenlik asa ..(3401 okuma, 0 yanıt) php nuke 8 kurdum güvenli ..(9887 okuma, 10 yanıt) Arkadaslar Lütfen Yardımc ..(9154 okuma, 9 yanıt) Site hacklendi sanırım... ..(5116 okuma, 2 yanıt) Hadi Protector Kuralım ..(40439 okuma, 45 yanıt) Bu bir saldırmı ..(8036 okuma, 7 yanıt) siteme virüs girmis ..(8155 okuma, 6 yanıt) Sitedekileri atmak ..(5121 okuma, 2 yanıt) Kötü botları engellemek. ..(11017 okuma, 10 yanıt) 2 dakika içinde 5 farklı ..(7068 okuma, 5 yanıt) index atılamayan site yap ..(6942 okuma, 5 yanıt) Sanal Klavye Uygulamasi H ..(5230 okuma, 2 yanıt) js trojandownloader.agent ..(5665 okuma, 4 yanıt) Güvenlik konusunda yardım ..(7364 okuma, 8 yanıt) Sunucu firması websiteme ..(4862 okuma, 2 yanıt) siteme saldirimi olmus? ..(5844 okuma, 4 yanıt) Protector bir işe yaramıy ..(13622 okuma, 15 yanıt) Nuke Sentinel 242 pl5 ( 7 ..(26221 okuma, 25 yanıt) hacklendim mi? ..(5906 okuma, 4 yanıt) Güvenli prefix değiştirme ..(75325 okuma, 108 yanıt) 7.6 ya 3.2 pack nasıl yap ..(4384 okuma, 1 yanıt) Site neden Google i banla ..(4125 okuma, 1 yanıt) PhpMyadminden toplu isim ..(6131 okuma, 4 yanıt) sentinel güvenlik sistemi ..(7156 okuma, 6 yanıt) Sitemdeki Bu Acik Neyden ..(7201 okuma, 6 yanıt) Saldırı yedim BW dolmuş. ..(9647 okuma, 9 yanıt) sürümünüz < 7.8 ise s ..(6931 okuma, 5 yanıt) forum için kod yazma yasa ..(4848 okuma, 2 yanıt) Arkadaşlar hacklendim seb ..(4631 okuma, 2 yanıt) KENDİ TOLBARIMIMDAN AYDA ..(5185 okuma, 3 yanıt) Bütün indexler değişmiş, ..(4700 okuma, 3 yanıt) Çok sorulu, çok şıklı ank ..(3420 okuma, 0 yanıt) Protector' deki Host İs ..(3433 okuma, 0 yanıt) php nuke dosyaları şifrel ..(7453 okuma, 7 yanıt) index dosyasının chmod k ..(4007 okuma, 1 yanıt) AdminBox-1.0.3 Kurulumund ..(3582 okuma, 0 yanıt) gec saatlerde hızlanan tr ..(7745 okuma, 8 yanıt) Prefix değiştirmede coppe ..(4424 okuma, 1 yanıt) Nuke Güvenlik ..(157238 okuma, 257 yanıt) bütün index lere iframe e ..(18392 okuma, 24 yanıt) Nuke Sentinel Google bot ..(5624 okuma, 4 yanıt) Siteme Sürekli Üye Oluyor ..(23917 okuma, 28 yanıt) Yeni iframe virüsler kodl ..(18660 okuma, 23 yanıt) Nuke Versiyonları Hakkın ..(3729 okuma, 0 yanıt)
Netopsiyon Online: Forums
Netopsiyon Online :: Başlık görüntüleniyor - Sql Enjeksiyon açığı
Önceki başlık :: Sonraki başlık
Yazar
Mesaj
Regal Mesaj: 100+
Kayıt: Oct 28, 2006 Mesajlar: 156 Konum: kullan.net
Tarih: 2007-08-24, 12:48:22 Mesaj konusu: Sql Enjeksiyon açığı
Sql Enjeksiyon açığı nedir nasıl kapatırız. ?
Başa dön
Bu Site Google Adsense ile Gelir Elde Ediyor
Tarih: 2024-04-30, 13:19:56 Mesaj konusu: Forum Arası Reklamlar
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-08-24, 13:34:33 Mesaj konusu:
bu açık ile dışarıdan veritabanına kendi istekleri doğrultusunda sorgu gönderilir. örneğin web sitende admin ve diğer kullanıcıları tek tabloda tutuyorsun. işlem yapmak için yapman gerken sorgu
select * uyeler where sifre='sifre' and kullaniciadi='admin'
bu sorgu ile admine griş yaptırtırım ama dışardan öyle bir kod gönderirlerki (genelde uyelik sistemlerinde yada search alanlarından) sifre ve admin kullanıcı adı devre dışı kalıyor. eleman böylelikle üye yada admin olmadan giriş yapıyor. şimdi şifre isteyen yere OR ''=' ve kullanıcı ismi yerine ' OR ''=' yazarsam yeni sorgu bakalım ne olucak.
select * uyeler where sifre='OR ''='' and kullaniciadi='' OR ''=''
işte sana tehlikeli bir sql sorgusu. bununla kullanıcı adı ve şifreye gerek kalmadan giriş yapılabilir. en genel anlatım üyelik üzerinden olduğundan öyle örnek verdim.yada kullanıcı adı ile 123456'/* gönderirlerse ne olur, hemen bakalım :)
select * uyeler where sifre='123456'/* and kullaniciadi='' OR ''=''
php de /* sonrası malum dikkate alınmaz ve bu sorguda şifre 123456 olan herhangi biri yerine girilebilir. aynı şey kullanıcıadı içinde geçerlidir
gelelim nasıl korunuruz.
öncelikle bir form varsa elimizde bu formdan gönderilen değerleri süzgeçten geçirmeliyiz örneğin
$istenmeyen = array("'","/","*");
foreach ($istenmeyen as $a)
if (strstr ($_POST['kullanıciadi'] ,$a){
die;
}
//pek güzel olmadı ama :))
yani kullanıcı adını doldururken bu işaretlerden birini girerlerse scripti durdururuz.
Başa dön
serserialper21 Mesaj: 1000+
Kayıt: Jan 02, 2006 Mesajlar: 1660 Konum: Diyarbakır
Tarih: 2007-08-24, 13:51:17 Mesaj konusu:
Korunma çok basit
Search Modulunu pasif'leyin
Am Siz yok ben search modulunu kullanmak istiyorum derseniz o zaman 3.2 patch'ı indirin search modulunu sadece patch'leyin sorun kalmaz
Aynı zamanda admin scure de bu acıgı kapatmaktadır
Ve yine aynı zamanda perfix'lerin değişim olmasıda tablola'lara iletişimi kesmektedir
Yani açığı kapamak ıcın çok yol war
Başa dön
KISASLI Mesaj: 300+
Kayıt: May 19, 2007 Mesajlar: 423 Konum: Niye Bize mi Gelecen
Tarih: 2007-08-25, 11:32:36 Mesaj konusu:
hacker trap var onu ükleyerekte kapata bilirsin en iyisi hepsini yap :)
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-08-26, 10:21:51 Mesaj konusu:
mainfile.php nin en üstüne
Kod:
foreach($_REQUEST as $saho=>$netopsiyon) {
$_REQUEST[$saho]=trim(addslashes(htmlspecialchars(mysql_real_escape_string(
$_REQUEST[$saho]))));
$_REQUEST[$saho]=str_replace(array('or','union','and','\'','"','http://','https://','ftp://'),'',strtolower($_REQUEST[$saho]));
}
gibi ekleyip epey bir eden önlersiniz kendinizi sql rfi
Başa dön
Regal Mesaj: 100+
Kayıt: Oct 28, 2006 Mesajlar: 156 Konum: kullan.net
Tarih: 2007-08-26, 10:54:31 Mesaj konusu:
Tşkler.Saho abi.Ama nuke için sormadım başka bir script kullanıyorum onda vardı kapatttım.Saolun
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-08-27, 20:22:57 Mesaj konusu:
tamamda bu da nuke için değil zaten php ile çalışan herşeye koyabilirsin bunu
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-08-28, 21:35:04 Mesaj konusu:
bu $_REQUEST[$saho] değişken sorguyu tutuyormu kendiliğinden yoksa değişkenin anahtarını forma göre ayarlamamızmı gerekiyor..
Başa dön
Bu Site Google Adsense ile Gelir Elde Ediyor
Tarih: 2024-04-30, 13:19:56 Mesaj konusu: Forum Arası Reklamlar
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-08-29, 09:10:35 Mesaj konusu:
otomatik ne geliyorsa tüm hepsine
session,get,post tan gelen tüm verilere otomatik işlem yapıyor ;)
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-09-03, 22:30:42 Mesaj konusu:
Fatal error: Call to undefined function: mysql_real_escape_string() in ...
hatasını veriyo saho, sorun nedir acaba?..
Başa dön
serkanyilmaz303 Mesaj: 100+
Kayıt: Aug 14, 2005 Mesajlar: 140 Konum: Ankara
Tarih: 2007-09-03, 23:50:17 Mesaj konusu: Re: Sql Enjeksiyon açığı
PHP Sürümünden kaynaklanıyor olabilir bende sorun çıkmadı(PHP version 5.1..)
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-09-04, 22:35:40 Mesaj konusu:
mysql_real_escape_string fonksiyonu php kütüphanenizde yok demek ki
kodu şu şekilde düzeltelim
Kod:
oreach($_REQUEST as $saho=>$Netopsiyon) {
if(function_exists('mysql_real_escape_string'))
$_REQUEST[$saho]=trim(addslashes(htmlspecialchars(mysql_real_escape_string(
$_REQUEST[$saho]))));
else
$_REQUEST[$saho]=trim(addslashes(htmlspecialchars($_REQUEST[$saho])));
$_REQUEST[$saho]=str_replace(array('or','union','and','\'','"','http://','https://','ftp://'),'',strtolower($_REQUEST[$saho]));
}
Başa dön
seyranli Mesaj: 1000+
Kayıt: May 16, 2005 Mesajlar: 3511 Konum: oradan
Tarih: 2007-09-04, 23:11:26 Mesaj konusu:
veritabanına bağlanmazsanız mysql_real_escape_string çalışmaz, adı üstünde komutun
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-09-05, 10:58:49 Mesaj konusu:
gündüz tamamda
Fatal error: Call to undefined function: mysql_real_escape_string() in ...
hatası vermiş fonksiyon tanımlı değil demiş fonksiyon tanımlımı diye test ettirdim tanımlıysa php nin kütüphanesinde fonksiyonu işlemlere dahil etcek yoksa diğer yönden sql e bağlı değil ise
mysql connect access denied user@localhost yada apache@localhost gibi bir hata verirdi :) ama burada fonk. tanımlı değil demiş (:
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-09-05, 22:42:45 Mesaj konusu:
saho yine hata verdi. mysql_real_escape_string i kaldırdıktan sonra çalıştı. sanırım serverdan kaynaklı bir problem..
Başa dön
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız