Posted on

How to Patch SQLI on Your Website:

, Author

Mitä opin?

  • Oppaat, miten paikataan bypass admin.
  • Oppaat, miten käyttää PHP-suodatinta SQL:ssä.
  • Oppaat, miten hakkerit työskentelevät ohittaakseen admin-kirjautumissivun.
  • Oppaat, miten SQL:ssä käytetään haitallista syntaksia.

Taitovaatimukset

  • Sinun täytyy osata PHP-kielen käyttö.
  • Sinun täytyy osata SQL.

Oppimisen vaikeusaste

  • Keskivaikeustaso
    • Keskivaikeustaso

    Oppikirjan sisällöt

    Hyvää hei ihmiset, nyt haluan opettaa teille, miten voitte paikantaa SQLI:n verkkosivuillanne. Tässä korostan vain ohitus admin bug. mutta ensin sinun täytyy tietää, mikä on SQLI? SQLI (SQL-injektio) on hakkerointitekniikka, jossa hyökkääjä voi lisätä SQL-komentoja url- tai lomakelomakkeen kautta verkkosivustolla tietokantakomentojen suorittamiseksi. okei nyt haluan näyttää teille, miten hakkerit työskentelevät ohittaakseen admin-kirjautumissivunne.

    testi224.gif

    jos näit edellä sinun täytyy olla varovainen tehdä verkkosivusto, nyt kerron sinulle joitakin syntaksi, jota pidetään vaarallisena ja on poistettava sivustostasi suodattamalla se.

    '=' 'or'or 1=1or 1=1--or 1=1#or 1=1/*admin' --admin' #admin'/*admin' or '1'='1admin' or '1'='1'--admin' or '1'='1'#admin' or '1'='1'/*admin'or 1=1 or ''='admin' or 1=1admin' or 1=1--admin' or 1=1#admin' or 1=1/*admin') or ('1'='1admin') or ('1'='1'--admin') or ('1'='1'#admin') or ('1'='1'/*admin') or '1'='1admin') or '1'='1'--admin') or '1'='1'#admin') or '1'='1'/*

    Miten tämä bugi korjataan?

    Tässä minulla on lähdekoodi, joka on altis tälle bugille

    <?phpinclude'connection.php';if (isset($_POST)){ $name=$_POST; $password=$_POST; $query="SELECT * FROM admin where admin_name='$name' AND admin_password='$password'"; $rq=mysqli_query($conn,$query); if (mysqli_num_rows($rq) > 0) { $id=0; @session_start(); $_SESSION=$name; $_SESSION=$id; echo "<script>alert('Logged in');window.location.href='index.php';</script>"; } else { echo "<script>alert('Email or Password is inavlid');window.location.href='login.php';</script>" } }?>

    näet tuossa lähdekoodissa ilman PHP-suodatinta, PHP-suodatin, jota pitäisi käyttää, on addslashes ()-funktio. Funktio addslashes () on merkkijonofunktio, joka antaa vinoviivan tai vinoviivan, jos merkkijonossa on tiettyjä merkkejä. Nämä merkit ovat: Yksittäinen lainausmerkki (’); Kaksinkertainen lainausmerkki (”); backslash (). Voit nähdä jälleen edellä, jossa syntaksi, jota pidetään vaarallisena käyttämällä Single Quote (’); Double Quote (”); backslash (), joten tämä toiminto on erittäin tärkeä verkkosivustollesi, eikö?. Voimme laittaa addslashes tuohon lähteen osaan

     $name=$_POST; $password=$_POST;

    ja voit lisätä addslashes()-funktion näin

    $name=addslashes($_POST); $password=addslashes($_POST);

    jos olet jo laittanut addslashes()-funktion Näin lupaan, että sivustollasi ei ole enää tuota virhettä 🙂

    katsokaa alla olevaa kuvaa Olen korjannut BYPASS ADMIN -virheen verkkosivuillani
    korjattu.gif

    okay until here i teach you How To Patch SQLI on Your Website: Bypass Admin. Cheerio!

Vastaa

Sähköpostiosoitettasi ei julkaista.