wykrywanie podatności sql injection
Witam .
Jak mam wykryć podatność na sql injection. ?
Wiem że można przez dodanie znaku specjalnego (#,',", itp. ) lecz moja strona :
jest NA PEWNO PODATNA i nie ulega znakom specjalnym.
Sprawdzenie typu "1=2" również nie przyjmuje :/
Jak moge wykryć podatność ?
Ostatnio edytowane przez Bagsiu : 12-26-2009 - 15:23
logout
http://www.uw-team.org/videoarty_security.html Pooglądaj te videotutoriale. Zakładam, że znasz PHP i SQL.
"a imię jego będzie czterdzieści i cztery"
A. Mickiewicz Dziady cz. III
Korzystałem z tych videoartów Unknow'a. Powiem że dużo się z nich nauczyłem ...
Praktycznie z nimi zacząłem nauke sql injection, i te metody sprawdzanai podatności które tam były, nie wychodzą mi ;/
Nawet na mojej stronie , która NA PEWNO jest podatna, bo o zabezpieczniach jeszcze prawie nic nie wiem, i zabezpieczeń na nią nie dodawałem ^^
Sami możecie "wykrztusić" błąd strone na pw moge dać :P
Wiecie co na to poradzić?
Z góry dziękuję :]
Edit : PHP i SQL tak znam , korzystam z MySQL
Ostatnio edytowane przez Bagsiu : 12-26-2009 - 15:24
skoro nic nie wiesz o zabezpieczeniach to skad wiesz ze strona jest podatna?Napisał Bagsiu
Korzystałem z tych videoartów Unknow'a. Powiem że dużo się z nich nauczyłem ...
Praktycznie z nimi zacząłem nauke sql injection, i te metody sprawdzanai podatności które tam były, nie wychodzą mi ;/
Nawet na mojej stronie , która NA PEWNO jest podatna, bo o zabezpieczniach jeszcze prawie nic nie wiem, i zabezpieczeń na nią nie dodawałem ^^
Sami możecie "wykrztusić" błąd z wolfs-terror.y0.pl :P
Wiecie co na to poradzić?
Z góry dziękuję :]
Edit : PHP i SQL tak znam , korzystam z MySQL
I jezeli praktycznie zaczoles nauke SQL injection to proboj na swojej stronie az do skutku.
Prawie nic.
Na strnie nie włączałem magic quotes ani nie używałem add slahes w zapytaniach. Dlatego powinna być podatna.
Gdy próbuje wyciąganąć jakieś dane, wywala mi else.
Mam dynamiczność stron, stąd else.
else wyświetla że nie ma takiej strony.
Na stronie próbuję cały czas.
Ale własnie nie moge wykryć podatności, a gdy próbuje wyciągnąc dane, czy sprawdzić ilość kolumn czy jeszcze co innego, wywala else , że takiej strony nie ma
podaj mi adres strony na PW
Sprawa dalej nie została rozwiązana
dum spiro, spero.
Zasady Postowania
Copyright © 2006-2024 - HACK.pl. Wszelkie prawa zastrzeżone.
Odpowiedź z Cytatem