Nwlapcug.com


Come controllare per SQL Injection Vulnerability

Programmatori PHP utilizzano il linguaggio per costruire istruzioni SQL dinamiche che vengono poi utilizzate per interrogare un server SQL per visualizzare il contenuto dinamico. È necessario controllare il codice PHP per eventuali vulnerabilità SQL evitare l'hack di iniezione SQL. L'hack di iniezione SQL sfrutta il carattere di virgolette per modificare l'istruzione SQL dinamico per eseguire istruzioni SQL dannose. Controllare i moduli inserendo codice SQL iniezione e qualsiasi pagina che restituisce errori si applica la funzione PHP "mysql_real_escape_string necessarie".

Istruzioni

1

Aprire un browser Web e passare al tuo sito Web. SQL iniezione funziona su moduli on-line così passare a uno dei tuoi moduli online per testare la pagina.

2

Digitare il codice di iniezione SQL per verificare il modulo. È necessario utilizzare un carattere di virgolette all'inizio della casella di testo di input del modulo e digitare un'istruzione SQL select dopo la citazione. Il codice seguente è un esempio di un hack di iniezione SQL:

'; Selezionare * da parte dei clienti;

Il codice precedente termina l'input nella casella di testo e tenta di eseguire una query che ruba i dati dalla tabella customers.

3

Fare clic sul pulsante "Invia" nel form per inviare l'istruzione di input non valido al server MySQL. Se la pagina è suscettibile di attacchi SQL injection, viene restituito un errore. Se si dispone di gravi vulnerabilità sul server, vedrai un elenco di clienti dalla tabella.

4

Aprire la pagina PHP che contiene l'istruzione SQL che ha restituito l'errore nel vostro editor preferito di PHP. Scorrere la pagina per l'istruzione SQL dinamico.

5

Aggiungere una riga aggiuntiva alla variabile di query PHP. Per esempio, se la variabile di query dinamica utilizza il "$query" Aggiunta il codice seguente direttamente dopo la variabile per proteggere da attacchi SQL injection:

$query = mysql_real_escape_string($query);