Müşterilerinin mallarını çevrimiçi olarak gönderecekleri bir web sitesi geliştirdim. Url, www.domiainname.com/item-details.cfm?sku=125
. Birisi, bildirildiğim ve hata yaptığım www.domiainname.com/item-details.cfm?sku=125%20and%203=3
'a göz atmayı denedi.Bu bir SQL Enjeksiyon Saldırısı örneğidir?
[email protected]@version--
item-details.cfm?sku=1291'[email protected]@version
[email protected]@version
son üç örnek kesinlikle doğru, sistemin içine almaya çalışırken birinin şunlardır:
Ben de hata raporlar aldık? Bu saklanmasına prosedürleri dönüştürdüyseniz
, o azaltmak veya ekleme krizi geçirme riskini ortadan kaldıracak? Kullanım cfqueryparam ve herhangi sql-enjeksiyon unutun
Ve evet, sorguları (cfqueryparam etiketleri örneğin ' –
HPWD
@@ sürümüyle ne yapmaya çalıştıklarını anlıyorum ama 3 = 3 onlara ne diyeceğini anladım mı? Hata alıcım da IP adresini bildiriyor. tabloları ve bu gibi durumlardan aldığım IP'leri ve sonra bu kullanıcıları tekrar google'a veya başka bir şeye yeniden yönlendirmek. ? – HPWD
Bir totoloji ekleyerek (ör., 3 = 3) yapabilecekleri tüm sonuçları veritabanından almaya çalışıyorlar. Ancak, belki de onlar kadar akıllı değiller çünkü AND yerine AND kullanmaları gerekecek. ' 'kullandığınız sürece, SQL enjeksiyon saldırılarına karşı güvende olmalısınız (en azından SELECT'lerde, hala INSERT'lerde ve UPDATE'lerde XSS saldırılarına karşı savunmasız olabilirsiniz). Yine de, parametrelerinizi doğrulamak için hatayı düzeltmek iyi bir fikirdir - bu işlemi gerçekleştirmeden önce hatayı yakalayabilirsiniz - bunu yapmak için 'seçeneğini kullanın veya' isNumeric() işlevini kullanın. Haberdar olmak. –