حمله sql injection
حمله sql injection
همانطور که از اسم این حمله پیداست.این حمله بر پایه تزریق کد sql در دیتابیس صورت میگیرد.
این حمله از غفلت برنامه نویس بوجود می آید.مثلاً مانی که برنامه نویس یک متغییر را بدون فیلتر یا بررسی بصورت صریح استفاده نماید. مثل دستور زیر
select name from user where name='"+textbox1.text+"'
این دستور موجب میشود که هکر با استفاده از دستورات sql به دیتابیس نفوذ کند.
یا مثلا در دستور زیر می توان به راحتی از قسمت تشخیص هویت (login) عبور کرد.
select usern,pass from user where user='username' and pass='pasword'
حالا اگه به جای username , password از این دستور استفاده کنیم
1' or '1'='1'
چه اتفاقی خواهد افتاد ؟؟؟؟؟؟؟
(دستور بالا را کپی کنید توی ادیتور بلاگفا برعکس نوشته میشه)
منبع :http://babilon.blogfa.com
+ نوشته شده در ساعت 1:21 PM توسط علی خازنی [مدیر]
|