افتح الفايرفوكس ونزل عليه إضافة Firebug ، وافتحه وروح عند الcookies وتأكد هل الجلسة مسجلة ولا لا (الجلسات تلقاها مع الكوكيز فلا تحتار)
اضافة جلسة يدويا عن طريق Firebug أو اي اداه مثلها، افتح Firebug وادخل على cookies واختار Create Cookie واجعلها session ، بهالطريقة تكون اضفت جلسة يدويا
في المثال الي حطه اخونا هو فقط يضيف الجلسة باسم العضو، بدون كلمة مرور أو أي شيء ثاني، بهالطريقة اروح اضيف جلسة يدويا واكتب اسم العضو اللي ابغى ادخل باسمه، واكون دخلت باسمه بدون أي عناء
لو تفتح ال firebug على سوالف سوفت أو اي منتدى vB تلقا جلسة باسم sessionhash وهي نص مشفر ولا يمكن ان يحصل اي زائر/عضو على نفس ال sessionhash ، فيقوم بجلب معلومات الزائر من قاعدة البيانات حسب ال sessionhash من جدول ال session إلخ..
تسجل جلسة لاسم العضو جلسة لكلمة المرور وتتحقق في كل صفحة من صحة البيانات؟ أكيد كافي
ما فهمتك
انا لما تكلمت عن SQL Injection كان قصدي عن البيانات المدخلة من نموذج تسجيل الدخول، لأنه ماعمل أي تصفية/فلترة للمدخلات
أما الجلسة اليدوية مالها دخل بال SQL Injection
في المثال المذكور ولكن لو تقوم بادخال الجلسات لإستعلامات قاعدة البيانات مباشرة (بدون تصفية) تكون عرضت نفسك للخطر
إذا تبي تحمي سكربتك من الخطر، لا تثق
بأي نوع من المدخلات يجي من الزائر، على سبيل المثال: الكوكيز، الجلسات، مدخلات النماذج، حتى ال headers بنخاف عليها
الظاهر اني طولت في الكتابة، اتمنى اكون افدتك