 |
السلام عليكم و رحمة الله
مسوي موقع بلغة asp و مسوي صفحة مراسلة مسميها contact.asp
و في هذه الصفحة يختار الزائر المسؤول المراد مراسلته
كما يلي
http://localhost/aja/contact.asp?id_contact=26
و تم اختراق الموقع عن طريق الاوامر
1. رابط استغلال لثغره لاظهـار user
http://localhost/aja/contact.asp?id_...7,8+FROM+ADMIN
2. رابط استغلال لاظهـار password
http://localhost/aja/contact.asp?id_...7,8+FROM+ADMIN
ما هي الحلول المقترحة لمعالجة هذا الاختراق ؟؟؟
__________________
سبحان الله و الحمد لله و لا إله الا الله و الله أكبر
ابحث في غوغل عن Formatsqlinput
وظيفة استخدمها قبل الحصول على اي طلب .
كود:sqlstr = "select * from users where id = " & formatsqlinput(request("contact_id"))
أفضل شيء هو إستخدام Stored Procedure للتعامل مع قواعد البيانات فهي تعطي أكبر قدر من الكفاءه وأكبر قدر من السرية. وكحل سريع يجب إختبار المعاملات أنها رقميه قبل إضافاتها الي جملة SQL
__________________
اللهم لك الحمد كما ينبغي لجلال وجهك وعظيم سلطانك
اخي الكريم شكرا لتجاوبك معي
و لكن للأسف لم أفهم ما تقصد !!
__________________
سبحان الله و الحمد لله و لا إله الا الله و الله أكبر
اخي الكريم شكرا لتجاوبك معي
و لكن للأسف لم أفهم ما تقصد !!
ممكن مثال للتبسيط مشكورن سلفاً
__________________
سبحان الله و الحمد لله و لا إله الا الله و الله أكبر
علي ما اعتقد
الستورد بروسيدجر
هو ما يسمي بالاجراء المخزن
يتم عملة في قاعدة البيانات
واستدعائه
لست متاكد من المعلومة ارجو تصحيها ان كنت مخطأ
مثلا
كل حدث
زي insert
update
delete
كل واحد ليه ستورد بروسيدجر
ويتم استدعائه
أخي الكريم moh_elferg
شكرا لك و لكني حتى الان لم اجد الجواب الشافي !!
__________________
سبحان الله و الحمد لله و لا إله الا الله و الله أكبر
ضوابط المشاركة
رد مع اقتباس
المشاركة الأصلية كتبت بواسطة Blue_Red 