Sql Zararlı

ajann · Mesaj gönderen **ajann** » 05 Oca 2006 07:44

S.a
Sql İnjeklerde örneğin coderin Urlleri iyi filtre edememesinden İnsert,Update gibi komutlar işleyebiliyor.
Örneğin; Unclosed ... die hatada bu rahatlıkla yapılıyor.
Peki anlamadığım Tabloİsmini nasıl öğreniyorlar bilmeden; Örneğin id=1234; UPDAte ....-- die komutla bunları yapıyorsun.Ama DB adlarını ve tablo adlarını nasıl öğreniyorlar onu anlamadım.
Hangi komut gerekirki buna MSSQLda..
Yanlış anlamayın Öğrenme amaçlı soruyorum,bi SQL giriş programı hazırlayacağımda onada katkısı olsun..

ajann · Mesaj gönderen **ajann** » 05 Oca 2006 07:46

Yani; Listeleme komutları istiyorum bir nevi bu komutları yani.

Mesaj gönderen **rsimsek** » 05 Oca 2006 10:25

Kendi güvenlik tedbirlerinizi almak için mi yoksa başkalarının açıklarını yakalamak için mi

Mesaj gönderen **fduman** » 06 Oca 2006 07:58

Genellikle bu tablo isimleri tahmin edilebilen şeyler olarak verildiğinden çıkarması zor olmaz. Liste aldıklarını sanmıyorum.

ajann · Mesaj gönderen **ajann** » 07 Oca 2006 05:01

Teşekkür rsimsek yardımın için.

deltas · Mesaj gönderen **deltas** » 10 Oca 2006 02:19

SQL injection diye webde arattır bulursun. Detaylı anlatamam. Buyuk ihtimalle kendin için değilde başkaları için kullanacaksın. Sen kullanmasanda başkaları kullanır. Ama onu bulmak için kesin bi yol yok. Bi kaç farklı sorgu çekiyorsun. her defasında sana tablo isimlerini sölüyor. Hata mesajı olarak geliyor. Bazı durumlarda da schema tablesine sorgu çekebiliyorsunki bu en kolay yöntem. table'nin no olduğıunu merak ediyorsan en iisi sen kullanılan scripti indirmeye çalış..
En iyi yol ise http://www.google.com.