Toplam Üye:
32638
Aktif Üye:
0
Aktif Ziyaretçi:
1098
Nuke sentinelin sorgulama ..(4719 okuma, 0 yanıt) dizin CHMOD ları değişmiy ..(7933 okuma, 6 yanıt) 3.3Patch Hakkında Versiyo ..(3306 okuma, 0 yanıt) nuke sentinel 2.6.01 kura ..(9714 okuma, 10 yanıt) Nuke Sentinel ..(4350 okuma, 2 yanıt) Nuke 8.0 Guvenlik ..(4897 okuma, 2 yanıt) Php Nuke 8.0 Güvenlik asa ..(3427 okuma, 0 yanıt) php nuke 8 kurdum güvenli ..(10034 okuma, 10 yanıt) Arkadaslar Lütfen Yardımc ..(9248 okuma, 9 yanıt) Site hacklendi sanırım... ..(5156 okuma, 2 yanıt) Hadi Protector Kuralım ..(40767 okuma, 45 yanıt) Bu bir saldırmı ..(8131 okuma, 7 yanıt) siteme virüs girmis ..(8234 okuma, 6 yanıt) Sitedekileri atmak ..(5176 okuma, 2 yanıt) Kötü botları engellemek. ..(11123 okuma, 10 yanıt) 2 dakika içinde 5 farklı ..(7132 okuma, 5 yanıt) index atılamayan site yap ..(7013 okuma, 5 yanıt) Sanal Klavye Uygulamasi H ..(5286 okuma, 2 yanıt) js trojandownloader.agent ..(5717 okuma, 4 yanıt) Güvenlik konusunda yardım ..(7443 okuma, 8 yanıt) Sunucu firması websiteme ..(4922 okuma, 2 yanıt) siteme saldirimi olmus? ..(5912 okuma, 4 yanıt) Protector bir işe yaramıy ..(13824 okuma, 15 yanıt) Nuke Sentinel 242 pl5 ( 7 ..(26413 okuma, 25 yanıt) hacklendim mi? ..(5976 okuma, 4 yanıt) Güvenli prefix değiştirme ..(76089 okuma, 108 yanıt) 7.6 ya 3.2 pack nasıl yap ..(4436 okuma, 1 yanıt) Site neden Google i banla ..(4159 okuma, 1 yanıt) PhpMyadminden toplu isim ..(6212 okuma, 4 yanıt) sentinel güvenlik sistemi ..(7246 okuma, 6 yanıt) Sitemdeki Bu Acik Neyden ..(7280 okuma, 6 yanıt) Saldırı yedim BW dolmuş. ..(9770 okuma, 9 yanıt) sürümünüz < 7.8 ise s ..(6994 okuma, 5 yanıt) forum için kod yazma yasa ..(4888 okuma, 2 yanıt) Arkadaşlar hacklendim seb ..(4681 okuma, 2 yanıt) KENDİ TOLBARIMIMDAN AYDA ..(5235 okuma, 3 yanıt) Bütün indexler değişmiş, ..(4743 okuma, 3 yanıt) Çok sorulu, çok şıklı ank ..(3452 okuma, 0 yanıt) Protector' deki Host İs ..(3457 okuma, 0 yanıt) php nuke dosyaları şifrel ..(7513 okuma, 7 yanıt) index dosyasının chmod k ..(4036 okuma, 1 yanıt) AdminBox-1.0.3 Kurulumund ..(3610 okuma, 0 yanıt) gec saatlerde hızlanan tr ..(7816 okuma, 8 yanıt) Prefix değiştirmede coppe ..(4461 okuma, 1 yanıt) Nuke Güvenlik ..(158734 okuma, 257 yanıt) bütün index lere iframe e ..(18620 okuma, 24 yanıt) Nuke Sentinel Google bot ..(5670 okuma, 4 yanıt) Siteme Sürekli Üye Oluyor ..(24151 okuma, 28 yanıt) Yeni iframe virüsler kodl ..(18849 okuma, 23 yanıt) Nuke Versiyonları Hakkın ..(3757 okuma, 0 yanıt)
Netopsiyon Online: Forums
Netopsiyon Online :: Başlık görüntüleniyor - Sql Enjeksiyon açığı
Önceki başlık :: Sonraki başlık
Yazar
Mesaj
Regal Mesaj: 100+
Kayıt: Oct 28, 2006 Mesajlar: 156 Konum: kullan.net
Tarih: 2007-08-24, 12:48:22 Mesaj konusu: Sql Enjeksiyon açığı
Sql Enjeksiyon açığı nedir nasıl kapatırız. ?
Başa dön
Bu Site Google Adsense ile Gelir Elde Ediyor
Tarih: 2024-06-02, 11:32:26 Mesaj konusu: Forum Arası Reklamlar
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-08-24, 13:34:33 Mesaj konusu:
bu açık ile dışarıdan veritabanına kendi istekleri doğrultusunda sorgu gönderilir. örneğin web sitende admin ve diğer kullanıcıları tek tabloda tutuyorsun. işlem yapmak için yapman gerken sorgu
select * uyeler where sifre='sifre' and kullaniciadi='admin'
bu sorgu ile admine griş yaptırtırım ama dışardan öyle bir kod gönderirlerki (genelde uyelik sistemlerinde yada search alanlarından) sifre ve admin kullanıcı adı devre dışı kalıyor. eleman böylelikle üye yada admin olmadan giriş yapıyor. şimdi şifre isteyen yere OR ''=' ve kullanıcı ismi yerine ' OR ''=' yazarsam yeni sorgu bakalım ne olucak.
select * uyeler where sifre='OR ''='' and kullaniciadi='' OR ''=''
işte sana tehlikeli bir sql sorgusu. bununla kullanıcı adı ve şifreye gerek kalmadan giriş yapılabilir. en genel anlatım üyelik üzerinden olduğundan öyle örnek verdim.yada kullanıcı adı ile 123456'/* gönderirlerse ne olur, hemen bakalım :)
select * uyeler where sifre='123456'/* and kullaniciadi='' OR ''=''
php de /* sonrası malum dikkate alınmaz ve bu sorguda şifre 123456 olan herhangi biri yerine girilebilir. aynı şey kullanıcıadı içinde geçerlidir
gelelim nasıl korunuruz.
öncelikle bir form varsa elimizde bu formdan gönderilen değerleri süzgeçten geçirmeliyiz örneğin
$istenmeyen = array("'","/","*");
foreach ($istenmeyen as $a)
if (strstr ($_POST['kullanıciadi'] ,$a){
die;
}
//pek güzel olmadı ama :))
yani kullanıcı adını doldururken bu işaretlerden birini girerlerse scripti durdururuz.
Başa dön
serserialper21 Mesaj: 1000+
Kayıt: Jan 02, 2006 Mesajlar: 1660 Konum: Diyarbakır
Tarih: 2007-08-24, 13:51:17 Mesaj konusu:
Korunma çok basit
Search Modulunu pasif'leyin
Am Siz yok ben search modulunu kullanmak istiyorum derseniz o zaman 3.2 patch'ı indirin search modulunu sadece patch'leyin sorun kalmaz
Aynı zamanda admin scure de bu acıgı kapatmaktadır
Ve yine aynı zamanda perfix'lerin değişim olmasıda tablola'lara iletişimi kesmektedir
Yani açığı kapamak ıcın çok yol war
Başa dön
KISASLI Mesaj: 300+
Kayıt: May 19, 2007 Mesajlar: 423 Konum: Niye Bize mi Gelecen
Tarih: 2007-08-25, 11:32:36 Mesaj konusu:
hacker trap var onu ükleyerekte kapata bilirsin en iyisi hepsini yap :)
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-08-26, 10:21:51 Mesaj konusu:
mainfile.php nin en üstüne
Kod:
foreach($_REQUEST as $saho=>$netopsiyon) {
$_REQUEST[$saho]=trim(addslashes(htmlspecialchars(mysql_real_escape_string(
$_REQUEST[$saho]))));
$_REQUEST[$saho]=str_replace(array('or','union','and','\'','"','http://','https://','ftp://'),'',strtolower($_REQUEST[$saho]));
}
gibi ekleyip epey bir eden önlersiniz kendinizi sql rfi
Başa dön
Regal Mesaj: 100+
Kayıt: Oct 28, 2006 Mesajlar: 156 Konum: kullan.net
Tarih: 2007-08-26, 10:54:31 Mesaj konusu:
Tşkler.Saho abi.Ama nuke için sormadım başka bir script kullanıyorum onda vardı kapatttım.Saolun
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-08-27, 20:22:57 Mesaj konusu:
tamamda bu da nuke için değil zaten php ile çalışan herşeye koyabilirsin bunu
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-08-28, 21:35:04 Mesaj konusu:
bu $_REQUEST[$saho] değişken sorguyu tutuyormu kendiliğinden yoksa değişkenin anahtarını forma göre ayarlamamızmı gerekiyor..
Başa dön
Bu Site Google Adsense ile Gelir Elde Ediyor
Tarih: 2024-06-02, 11:32:26 Mesaj konusu: Forum Arası Reklamlar
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-08-29, 09:10:35 Mesaj konusu:
otomatik ne geliyorsa tüm hepsine
session,get,post tan gelen tüm verilere otomatik işlem yapıyor ;)
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-09-03, 22:30:42 Mesaj konusu:
Fatal error: Call to undefined function: mysql_real_escape_string() in ...
hatasını veriyo saho, sorun nedir acaba?..
Başa dön
serkanyilmaz303 Mesaj: 100+
Kayıt: Aug 14, 2005 Mesajlar: 140 Konum: Ankara
Tarih: 2007-09-03, 23:50:17 Mesaj konusu: Re: Sql Enjeksiyon açığı
PHP Sürümünden kaynaklanıyor olabilir bende sorun çıkmadı(PHP version 5.1..)
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-09-04, 22:35:40 Mesaj konusu:
mysql_real_escape_string fonksiyonu php kütüphanenizde yok demek ki
kodu şu şekilde düzeltelim
Kod:
oreach($_REQUEST as $saho=>$Netopsiyon) {
if(function_exists('mysql_real_escape_string'))
$_REQUEST[$saho]=trim(addslashes(htmlspecialchars(mysql_real_escape_string(
$_REQUEST[$saho]))));
else
$_REQUEST[$saho]=trim(addslashes(htmlspecialchars($_REQUEST[$saho])));
$_REQUEST[$saho]=str_replace(array('or','union','and','\'','"','http://','https://','ftp://'),'',strtolower($_REQUEST[$saho]));
}
Başa dön
seyranli Mesaj: 1000+
Kayıt: May 16, 2005 Mesajlar: 3511 Konum: oradan
Tarih: 2007-09-04, 23:11:26 Mesaj konusu:
veritabanına bağlanmazsanız mysql_real_escape_string çalışmaz, adı üstünde komutun
Başa dön
saho Forum Yöneticisi
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2007-09-05, 10:58:49 Mesaj konusu:
gündüz tamamda
Fatal error: Call to undefined function: mysql_real_escape_string() in ...
hatası vermiş fonksiyon tanımlı değil demiş fonksiyon tanımlımı diye test ettirdim tanımlıysa php nin kütüphanesinde fonksiyonu işlemlere dahil etcek yoksa diğer yönden sql e bağlı değil ise
mysql connect access denied user@localhost yada apache@localhost gibi bir hata verirdi :) ama burada fonk. tanımlı değil demiş (:
Başa dön
is-mail Mesaj: 500+
Kayıt: Feb 07, 2006 Mesajlar: 908 Konum: İstanbul
Tarih: 2007-09-05, 22:42:45 Mesaj konusu:
saho yine hata verdi. mysql_real_escape_string i kaldırdıktan sonra çalıştı. sanırım serverdan kaynaklı bir problem..
Başa dön
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız