Sta je SQL Injection??

ivana94 · 12.4.2012, 15:18

Poz, mozel li neko da mi obijasni malo bolje sta je "SQL Injection" ?
Hvala u napred

EpicG · 12.4.2012, 15:27

http://lmgtfy.com/?q=sql+injection
Uzivaj.

rudar · 12.4.2012, 15:40

Koja je poenta foruma ako se za svako postavljeno pitanje ljudi redirektuju na Google?

JohnnyNT · 12.4.2012, 16:39

^ Zašto trošiti vreme i reči na objašnjavanje nečega što je već (možda i bolje) objašnjeno na mnogo mesta na internetu.

orange47 · 12.4.2012, 16:57

to podseca na ovaj sa xkcd-a: http://xkcd.com/327/

Deusdies · 12.4.2012, 20:09

Citat:

JohnnyNT kaže:

^ Zašto trošiti vreme i reči na objašnjavanje nečega što je već (možda i bolje) objašnjeno na mnogo mesta na internetu.

Koja je svrha SK foruma onda uopšte, kada je 99.99% stvari koje ljudi pitaju ovde već objašnjeno negde na internetu?

Ivan452 · 12.4.2012, 21:03

Jednostavno: SQL injection ti tehnika za napad na bazu preko sajta (moglo bi i preko programa).

Malo detaljnije:
Za razumevanje sta je SQL injection potrebno ti je osnovno znanje SQL sintakse.
Evo na stalno koriscenom primeru:
Ako imas neko logovanje negde i unosis korisnicko ime. Kada ga uneses ako se u pozadini koristi neka baza standardna sintaksa bi bila:

Kod:

SELECT * FROM users WHERE name = '" + userName + "' AND password = '" + password + "'

Gde su userName i password vrednosti koje korisnik unosi na login stranici. Ako korisnik sa odgovarajucom sifrom postoji baza ce vratiti korisnika, u suprotnom nece imati sta da vrati.

E sada, ako bi korisnik prilikom logovanja za userName ukucao:

Kod:

' or '1'='1' -- '

Upit koji bi se izvrsio nad bazom bi glasio:

Kod:

SELECT * FROM users WHERE name = '' or or '1'='1'

I ovo bi ti uvek dozvolilo pristup tom sajtu. Jer:
1. prvi apostrof zatvara deo za name
2. '1'='1' je uvek tacno
3. --oznacava se ne uzima u obzir bilo sta sto ide posle toga(to je oznaka za komentar u SQL-u)
Ovaj upit bi ti vratio celu listu korisnika iz baze i sve njihove podatke. Konkretno mislim (nisam 100% siguran) da bi te ulogovao kao prvog korisnika iz liste. Sto je ranije bio poprilican problem jer je prvi korisnik uglavnom bio Administrator.

Sumnjam da postoji ozbiljniji sajt na kojem ce ovo danas proci.
Na nekim amaterskim i mozes da probas.

voodoo_ · 12.4.2012, 21:48

Long story short, to ti je kad u polje na sajtovima gde treba da uneseš korisničko ime ili lozinku, ti uspeš da uglaviš i određenu komandu kojom kompromituješ pozadinsku bazu podataka koja čuva korisnička imena, lozinke i ko zna još koje podatke.

ivana94 · 1.5.2012, 11:20

hvala

12.4.2012, 15:18	#1
ivana94 Novi član Član od: 21.3.2012. Poruke: 4 Zahvalnice: 3 Zahvaljeno 0 puta na 0 poruka	Sta je SQL Injection?? Poz, mozel li neko da mi obijasni malo bolje sta je "SQL Injection" ? Hvala u napred

12.4.2012, 15:27	#2
EpicG Starosedelac Član od: 6.1.2010. Lokacija: Beograd Poruke: 1.629 Zahvalnice: 404 Zahvaljeno 162 puta na 132 poruka	Re: Sta je SQL Injection?? http://lmgtfy.com/?q=sql+injection Uzivaj.

12.4.2012, 15:40	#3
rudar Veteran Član od: 5.1.2006. Lokacija: Bar, Crna Gora Poruke: 844 Zahvalnice: 404 Zahvaljeno 244 puta na 87 poruka	Re: Sta je SQL Injection?? Koja je poenta foruma ako se za svako postavljeno pitanje ljudi redirektuju na Google?

12.4.2012, 16:39	#4
JohnnyNT Deo inventara foruma Član od: 15.4.2006. Lokacija: Srbija Poruke: 4.037 Zahvalnice: 1.298 Zahvaljeno 1.396 puta na 948 poruka	Re: Sta je SQL Injection?? ^ Zašto trošiti vreme i reči na objašnjavanje nečega što je već (možda i bolje) objašnjeno na mnogo mesta na internetu.

12.4.2012, 16:57	#5
orange47 Starosedelac Član od: 19.10.2011. Lokacija: daleko od idealnog.. Poruke: 1.689 Zahvalnice: 107 Zahvaljeno 244 puta na 226 poruka	Re: Sta je SQL Injection?? to podseca na ovaj sa xkcd-a: http://xkcd.com/327/

Sledećih 2 korisnika se zahvaljuje korisniku JohnnyNT na korisnoj poruci:
EpicG (14.4.2012), Tihi (12.4.2012)

Sledećih 3 korisnika se zahvaljuje korisniku orange47 na korisnoj poruci:
doctor (12.4.2012), EclipsE (12.4.2012), JohnnyNT (12.4.2012)

*Sledeći korisnik se zahvaljuje korisniku Deusdies* na korisnoj poruci:**
rudar (13.4.2012)

12.4.2012, 21:03	#7
Ivan452 Veteran Član od: 25.7.2008. Lokacija: Beograd Poruke: 772 Zahvalnice: 33 Zahvaljeno 189 puta na 152 poruka	Re: Sta je SQL Injection?? Jednostavno: SQL injection ti tehnika za napad na bazu preko sajta (moglo bi i preko programa). Malo detaljnije: Za razumevanje sta je SQL injection potrebno ti je osnovno znanje SQL sintakse. Evo na stalno koriscenom primeru: Ako imas neko logovanje negde i unosis korisnicko ime. Kada ga uneses ako se u pozadini koristi neka baza standardna sintaksa bi bila: Kod: SELECT * FROM users WHERE name = '" + userName + "' AND password = '" + password + "' Gde su userName i password vrednosti koje korisnik unosi na login stranici. Ako korisnik sa odgovarajucom sifrom postoji baza ce vratiti korisnika, u suprotnom nece imati sta da vrati. E sada, ako bi korisnik prilikom logovanja za userName ukucao: Kod: ' or '1'='1' -- ' Upit koji bi se izvrsio nad bazom bi glasio: Kod: SELECT * FROM users WHERE name = '' or or '1'='1' I ovo bi ti uvek dozvolilo pristup tom sajtu. Jer: 1. prvi apostrof zatvara deo za name 2. '1'='1' je uvek tacno 3. --oznacava se ne uzima u obzir bilo sta sto ide posle toga(to je oznaka za komentar u SQL-u) Ovaj upit bi ti vratio celu listu korisnika iz baze i sve njihove podatke. Konkretno mislim (nisam 100% siguran) da bi te ulogovao kao prvog korisnika iz liste. Sto je ranije bio poprilican problem jer je prvi korisnik uglavnom bio Administrator. Sumnjam da postoji ozbiljniji sajt na kojem ce ovo danas proci. Na nekim amaterskim i mozes da probas.

Sledećih 5 korisnika se zahvaljuje korisniku Ivan452 na korisnoj poruci:
doctor (12.4.2012), Game fever (11.5.2012), ivana94 (1.5.2012), player1 (12.4.2012), rudar (13.4.2012)

12.4.2012, 21:48	#8
voodoo_ V.I.P. GNU/Linux Član od: 1.11.2005. Poruke: 11.166 Zahvalnice: 2.085 Zahvaljeno 4.923 puta na 2.859 poruka	Re: Sta je SQL Injection?? Long story short, to ti je kad u polje na sajtovima gde treba da uneseš korisničko ime ili lozinku, ti uspeš da uglaviš i određenu komandu kojom kompromituješ pozadinsku bazu podataka koja čuva korisnička imena, lozinke i ko zna još koje podatke.

*Sledeći korisnik se zahvaljuje korisniku voodoo_* na korisnoj poruci:**
EpicG (14.4.2012)

1.5.2012, 11:20	#9
ivana94 Novi član Član od: 21.3.2012. Poruke: 4 Zahvalnice: 3 Zahvaljeno 0 puta na 0 poruka	Re: Sta je SQL Injection?? hvala

Slične teme
tema	temu započeo	forum	Odgovora	Poslednja poruka
SQL baze podataka	fasty	Programiranje	90	22.12.2016 20:53
Drajveri za SQL Server 2008	catwoman	Aplikativni softver	0	10.5.2010 13:14
Kako spreciti SQL injection?	Electro	Programiranje	1	11.2.2010 1:17
Kratko i jasno: da li je Joomli moguće menjati SQL bazu...	Teva	Web razvoj	1	20.9.2009 23:59
SQL Server 2000	Zoran035	Programiranje	2	18.10.2007 13:23