Tool quét lỗi SQL Injection

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận hệ điều hành Windows

Tool quét lỗi SQL Injection

[Question] Tool quét lỗi SQL Injection	12/06/2008 03:06:10 (+0700) \| #1 \| 135082

duongvansy
Member

Joined: 18/10/2007 17:18:25
Messages: 3
Offline

một số website của cty Em bị khai thác lỗi SQL Injection Bác nào biết cách tìm lỗi SQL hoặc có tools tìm lỗi, chỉ cho Em với.
thank so much!

[Question] Tool quét lỗi SQL Injection	12/06/2008 03:35:42 (+0700) \| #2 \| 135088

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

duongvansy wrote:

một số website của cty Em bị khai thác lỗi SQL Injection Bác nào biết cách tìm lỗi SQL hoặc có tools tìm lỗi, chỉ cho Em với.
thank so much!

Muốn tìm soft hay thảo luận lập trình web thế?

What bringing us together is stronger than what pulling us apart.

[Question] Tool quét lỗi SQL Injection	12/06/2008 03:54:19 (+0700) \| #3 \| 135095

duongvansy
Member

Joined: 18/10/2007 17:18:25
Messages: 3
Offline

conmale wrote:

duongvansy wrote:

một số website của cty Em bị khai thác lỗi SQL Injection Bác nào biết cách tìm lỗi SQL hoặc có tools tìm lỗi, chỉ cho Em với.
thank so much!

Muốn tìm soft hay thảo luận lập trình web thế?

thanks Bác, Em cần cả soft và thảo luận lập trình web. các website hiện giờ Em đang quản lý đều bị khai thác lỗi SQL Ịnection, mà không biết tìm sao ra lỗi để fix lại.

[Question] Re: Tool quét lỗi SQL Injection	12/06/2008 04:02:16 (+0700) \| #4 \| 135098

lamer
Elite Member

Joined: 26/02/2008 13:28:49
Messages: 215
Offline

Nếu có điều kiện bạn nên đọc cuốn sách The Web Application Hacker's Handbook. Chưa có kiến thức cơ bản thì không nên vội kiếm "tool" smilie

[Question] Re: Tool quét lỗi SQL Injection	12/06/2008 04:07:35 (+0700) \| #5 \| 135099

duongvansy
Member

Joined: 18/10/2007 17:18:25
Messages: 3
Offline

lamer wrote:

Nếu có điều kiện bạn nên đọc cuốn sách The Web Application Hacker's Handbook. Chưa có kiến thức cơ bản thì không nên vội kiếm "tool" .

Bác có link load quyển này ko? cho Em xin.

[Question] Re: Tool quét lỗi SQL Injection	12/06/2008 04:14:41 (+0700) \| #6 \| 135101

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Chưa thấy bồ thảo luận cái gì liên quan đến lập trình web mà chỉ thấy xin soft rồi xin ebook. Bồ tạo chủ đề sai phân mục rồi đấy.

Nếu không rõ sql injection là gì thì có dùng tool scan xong rồi mà ngồi đó ngó thôi chớ không làm gì được đâu. Bồ tiếp cận sai hướng rồi đó.

Vào phân mục các tài liệu hữu ích mà tìm sách. Còn chuyện tool thì tạm quên đi.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Tool quét lỗi SQL Injection	12/06/2008 04:43:12 (+0700) \| #7 \| 135111

thuypv
Member

Joined: 11/06/2008 12:25:57
Messages: 64
Offline

ac ac, tìm quyển sách trên khó ghê, vào đâu cũng bắt mua, hoặc là đường link sai ko download được, hoặc bắt đang ký rồi mới cho download đăng ký song vào download thì ko download được ac ac smilie

[Question] Re: Tool quét lỗi SQL Injection	14/06/2008 05:39:40 (+0700) \| #8 \| 135448

cuongbk
Member

Joined: 09/11/2004 00:58:45
Messages: 77
Location: Hà Nội
Offline

Lỗi SQL injection này thường là do câu truy vấn. Cách khắc phục đó là: đối với PHP là bạn có thể thêm intval vào biến khi nhận về.

Ví dụ : $you = intval($_GET['you']) ;

[Question] Re: Tool quét lỗi SQL Injection	14/06/2008 13:08:15 (+0700) \| #9 \| 135515

kurk
Member

Joined: 26/05/2008 03:49:17
Messages: 4
Offline

cuongbk wrote:

Lỗi SQL injection này thường là do câu truy vấn. Cách khắc phục đó là: đối với PHP là bạn có thể thêm intval vào biến khi nhận về.

Ví dụ : $you = intval($_GET['you']) ;

Function http://vn.php.net/manual/en/function.intval.php chỉ với trường hợp dữ liệu dạng số.
Chưa đủ để khắc phục.

[Question] Re: Tool quét lỗi SQL Injection	15/06/2008 00:33:17 (+0700) \| #10 \| 135562

cuongbk
Member

Joined: 09/11/2004 00:58:45
Messages: 77
Location: Hà Nội
Offline

cuongbk wrote:

Lỗi SQL injection này thường là do câu truy vấn. Cách khắc phục đó là: đối với PHP là bạn có thể thêm intval vào biến khi nhận về.

Như mình đã nói ở trên, lỗi này thường nằm trong câu truy vấn, mà các câu truy vấn này thường là Select, Update, Delete thường phải thông qua câu điều kiện Where, mà Where ở đây là một id cụ thể nên việc cho thêm intval ở trước biến cũng là một cách khắc phục mà smilie

[Question] Re: Tool quét lỗi SQL Injection	15/06/2008 00:53:17 (+0700) \| #11 \| 135565

gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline

Đã khắc phục là phải triệt để, còn khắc phục tương đối thì ko nên xem đó là giải pháp. Với lại tui cũng ít đi fixed code, chỉ cần một file .htaccess là đủ rồi smilie

Cánh chym không mỏi
lol

[Question] Re: Tool quét lỗi SQL Injection	15/06/2008 12:18:32 (+0700) \| #12 \| 135633

kurk
Member

Joined: 26/05/2008 03:49:17
Messages: 4
Offline

cuongbk wrote:

Như mình đã nói ở trên, lỗi này thường nằm trong câu truy vấn, mà các câu truy vấn này thường là Select, Update, Delete thường phải thông qua câu điều kiện Where, mà Where ở đây là một id cụ thể nên việc cho thêm intval ở trước biến cũng là một cách khắc phục mà

Lại thêm một cái thiếu nữa trong cách nghĩ, WHERE đâu chỉ là với id.

[Question] Re: Tool quét lỗi SQL Injection	18/06/2008 03:46:17 (+0700) \| #13 \| 136065

cuongbk
Member

Joined: 09/11/2004 00:58:45
Messages: 77
Location: Hà Nội
Offline

kurk wrote:

cuongbk wrote:

Như mình đã nói ở trên, lỗi này thường nằm trong câu truy vấn, mà các câu truy vấn này thường là Select, Update, Delete thường phải thông qua câu điều kiện Where, mà Where ở đây là một id cụ thể nên việc cho thêm intval ở trước biến cũng là một cách khắc phục mà

Lại thêm một cái thiếu nữa trong cách nghĩ, WHERE đâu chỉ là với id.

Thế mà từ trước đến h em mới biết chỉ có mỗi Where với id thôi,hic, trình độ thấp kém, bạn có thêm nhiều cách nghĩ nữa thì có thể share được không ???? smilie

[Question] Re: Tool quét lỗi SQL Injection	23/06/2008 00:47:42 (+0700) \| #14 \| 136923

kurk
Member

Joined: 26/05/2008 03:49:17
Messages: 4
Offline

Đơn cử với search thì so sánh với cái gì ? hoặc cần sắp xếp theo ngày tháng thì ... smilie

[Question] Re: Tool quét lỗi SQL Injection	23/06/2008 02:58:23 (+0700) \| #15 \| 136936

belenba
Member

Joined: 23/12/2006 23:40:54
Messages: 22
Offline

gamma95 wrote:

Đã khắc phục là phải triệt để, còn khắc phục tương đối thì ko nên xem đó là giải pháp. Với lại tui cũng ít đi fixed code, chỉ cần một file .htaccess là đủ rồi

Anh ơi với .htaccess thì làm sao để chống dc anh, anh chỉ em một chút được không ạ

[Question] Re: Tool quét lỗi SQL Injection	23/06/2008 05:02:01 (+0700) \| #16 \| 136951

huaphuoctruong
Member

Joined: 18/03/2008 20:11:26
Messages: 6
Offline

Nếu htaccess thì chắc báo Not permission với mới câu truy vấn có SELECT, UPDATE .... hoặc là cấm luôn với REFERER khác.

Để chống SQL Ịnection thì dối với dữ liệu dạng số có thể làm như cách trên hay chỉ đơn giản là ép kiểu (int)$i, còn dữ liệu dạng chuỗi thì slashes nó đi giống như $_POST=explode('&&&',addslashes(implode('&&&',$_POST))) <-- Vậy hơi màu mè mà có lẽ OK nhỉ smilie

[Question] Tool quét lỗi SQL Injection	15/09/2010 17:22:04 (+0700) \| #17 \| 220775

ronin1184
Member

Joined: 15/01/2008 21:21:06
Messages: 9
Offline

Cuốn Web Application Hacker's Handbook trong gigapedia.com đó, tui đã down được.

[Question] Re: Tool quét lỗi SQL Injection	23/09/2010 23:40:26 (+0700) \| #18 \| 221338

hellmeangel
Member

Joined: 12/09/2010 05:35:49
Messages: 2
Offline

gamma95 wrote:

Đã khắc phục là phải triệt để, còn khắc phục tương đối thì ko nên xem đó là giải pháp. Với lại tui cũng ít đi fixed code, chỉ cần một file .htaccess là đủ rồi

Anh có thể giải thích rõ hơn được không ?

Cám ơn.

[Question] Tool quét lỗi SQL Injection	29/09/2010 15:19:02 (+0700) \| #19 \| 221768

heocaca
Member

Joined: 17/09/2010 11:15:05
Messages: 6
Location: dak lak
Offline

duongvansy wrote:

một số website của cty Em bị khai thác lỗi SQL Injection Bác nào biết cách tìm lỗi SQL hoặc có tools tìm lỗi, chỉ cho Em với.
thank so much!

Bạn vào http://heocaca.tk có bài hướng dẫn cụ thể cách quét lỗi SQL với mọi trang web, có hình minh hoạ luôn, mong rằng sẽ thoả mãn câu hỏi của bạn.Heocaca!

[Question] Re: Tool quét lỗi SQL Injection	23/06/2011 13:56:35 (+0700) \| #20 \| 241815

Mr.SuperCat
Member

Joined: 16/06/2011 06:23:53
Messages: 65
Location: Mid Digital
Offline

thuypv wrote:

ac ac, tìm quyển sách trên khó ghê, vào đâu cũng bắt mua, hoặc là đường link sai ko download được, hoặc bắt đang ký rồi mới cho download đăng ký song vào download thì ko download được ac ac

đây nè bạn
/hvaonline/posts/list/24506.html

Chúng tôi đại diện cho những nhân vật phản diện
Đầy khả ái và ngây ngất lòng người. smilie

Go to:

Users currently in here
1 Anonymous