banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Code Debug Injection SQL  XML
  [Discussion]   Code Debug Injection SQL 29/12/2009 12:01:20 (+0700) | #1 | 202078
XuanHung_Cntt
Member

[Minus]    0    [Plus]
Joined: 09/01/2009 17:50:35
Messages: 13
Offline
[Profile] [PM]
Đây là code debug Injection SQL của em.Nó được viết bằng PHP. Các bác góp ý kiến cùng e nha.
http://www.mediafire.com/?jaz3zdmznnz
[Up] [Print Copy]
  [Discussion]   Code Debug Injection SQL 29/12/2009 20:24:56 (+0700) | #2 | 202104
[Avatar]
WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline
[Profile] [PM]
Lần sau quote qua cái code và hướng dẫn sử dụng, như vậy bạn sẽ có nhiều feedback hơn

Click here to see code :
http://pastebin.com/m26d5ce69

Hướng dẫn sử dụng :
Code:
#       Instruction: call str($string) when you wanted get data by POST OR GET OR   #
#            REQUEST method befor using for query.Only use with ASCII character.    #
#            For example:                                                           #
#               $id=$_GET["id"];                                                    #
#               $id=str($id);                                                       #
#               $SQL="SELECT * FROM table_name WHERE id=$id";                       #
#               //execute query at here                                             #
#              with like operation:                                                 #
#               $key=$_GET["keyword"];                                              #
#               $key=str("%$key%");                                                 #
#               $SQL="SELECT * FROM table_name WHERE keyword like  $key ";          #
#                //execute query at here


mà cái này không nên gọi là "debug" misleading lắm, có thể gọi là code lọc kí tự / validation code cho sql

Sẽ comment sau nếu có thời gian smilie.

wd.
-- w~ --
[Up] [Print Copy]
  [Discussion]   Code Debug Injection SQL 30/12/2009 06:47:57 (+0700) | #3 | 202120
XuanHung_Cntt
Member

[Minus]    0    [Plus]
Joined: 09/01/2009 17:50:35
Messages: 13
Offline
[Profile] [PM]
mà cái này không nên gọi là "debug" misleading lắm, có thể gọi là code lọc kí tự / validation code cho sql  

hj! code lọc ký tự không đúng lắm anh à. Vì nó làm nhiệm vụ debug lỗi Injection SQL do nó sẽ sử dụng hàm unhex trong mysql do đó => không pải là lọc ký tự mà mã hoá ký tự đó sang hex sau đó dùng unhex trong mysql để giải mã.
[Up] [Print Copy]
  [Discussion]   Code Debug Injection SQL 30/12/2009 13:19:15 (+0700) | #4 | 202150
[Avatar]
WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline
[Profile] [PM]

XuanHung_Cntt wrote:
mà cái này không nên gọi là "debug" misleading lắm, có thể gọi là code lọc kí tự / validation code cho sql  

hj! code lọc ký tự không đúng lắm anh à. Vì nó làm nhiệm vụ debug lỗi Injection SQL do nó sẽ sử dụng hàm unhex trong mysql do đó => không pải là lọc ký tự mà mã hoá ký tự đó sang hex sau đó dùng unhex trong mysql để giải mã. 


đọc khái niệm trước khi sử dụng từ tiếng Anh

http://www.oup.com/oald-bin/web_getald7index1a.pl

debug (computing) to look for and remove the faults in a computer program

DEBUG lỗi "SQL Injection"

<=> tìm xem trong program có lỗi sql injection không.

Đoạn code của bạn hoàn toàn không thông báo là nó có bị bug hay ko và báo cho người dùng thì không thể gọi là debug, nếu như bạn nói thì mình nghĩ có thể gọi là code để prevent sql injection thì hợp lí.

Thân

-- w~ --
[Up] [Print Copy]
  [Discussion]   Code Debug Injection SQL 30/12/2009 17:42:50 (+0700) | #5 | 202177
XuanHung_Cntt
Member

[Minus]    0    [Plus]
Joined: 09/01/2009 17:50:35
Messages: 13
Offline
[Profile] [PM]

WinDak wrote:

Đoạn code của bạn hoàn toàn không thông báo là nó có bị bug hay ko và báo cho người dùng thì không thể gọi là debug, nếu như bạn nói thì mình nghĩ có thể gọi là code để prevent sql injection thì hợp lí.
 


hj! cái này đúng! Em xin tiếp thu.Cám ơn anh nhiều
[Up] [Print Copy]
  [Discussion]   Code Debug Injection SQL 31/12/2009 02:40:55 (+0700) | #6 | 202205
[Avatar]
learn2hack
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 16:32:37
Messages: 825
Offline
[Profile] [PM] [WWW]
Mình có đọc code của bạn và thử nghiệm với câu lệnh đơn giản kiểu như:

Code:
$id = "1'"; // có dấu nháy để test sql inj
$id = str($id);

$db->query("SELECT * FROM abc WHERE ID='$id'");


thì thấy hoạt động đúng, dấu nháy bị lược bỏ tự động.

Mình ko hiểu lắm về phương pháp chống sql inj kiểu này, bạn có thể giải thích giùm mình được ko? Tại sao khi dùng unhex() 1 chuỗi dính sql inj thì mysql vẫn thực hiện đúng? (Bởi hàm của bạn ở trên hoàn toàn ko lọc bỏ các ký tự đặc biệt, nó chỉ đơn thuần là mã hóa qua hex mà thôi)
Blog: http://hontap.blogspot.com
Tải phần mềm miễn phí: http://www.taiphanmem.org
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|