এসকিউএল ইনজেকশন থেকে Innocent মাইএসকিউএল রক্ষা
লেখক:
Ashfaq আনসারি

দ্বারা পর্যালোচনা:
নির্ধারণ:
5
অন অক্টোবর 19, 2012
শেষ বার পরিমার্জিত:জানুয়ারী 18, 2013

সংক্ষিপ্ত:

পিএইচপি মাইএসকিউএল ইনজেকশন প্রতিরোধ কিভাবে বিস্তারিত গাইড. এসকিউএল ইনজেকশন প্রতিরোধ কোডিং নিয়ম এবং ফাংশন নিরাপদ.

ভূমিকা

 

এটি আপনার নির্দোষ রক্ষা কিভাবে একটি সংক্ষিপ্ত গাইড মাইএসকিউএল থেকে ডাটাবেস এসকিউএল ইনজেকশন আছে.
 

এসকিউএল ইনজেকশন কি?

 

নাম সুপারিশ হিসাবে, এসকিউএল ইনজেকশন ব্যবহারকারী আপনার আবেদন মধ্যে এসকিউএল স্টেটমেন্ট injects ঘটে যখন.
 
কিভাবে এই ঘটবে?
 
আমরা একটি ব্যবহারকারী নাম এবং পাসওয়ার্ড লাগে যে, একটি সহজ সরল লগইন ফর্ম আছে বলুন, এবং ডাটাবেসের বিরুদ্ধে অনুমোদিত হবে. ব্যবহারকারীর নাম এবং পাসওয়ার্ড যাচাই করা হয় তাহলে, ব্যবহারকারী সিস্টেমের মধ্যে করা হয়.
 

এই জন্য NCES কোড ভালো কিছু চেহারা পারে:
 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?পিএইচপি
// পোষ্ট অনুরোধ থেকে ব্যবহারকারীর নাম ও পাসওয়ার্ড পাবেন
$USER_NAME = $_POST[ 'আপনার ব্যবহাকারীর নাম' ];
$পাসওয়ার্ড  = $_POST[ 'পাসওয়ার্ড' ];

$ক্যোয়ারী = "FIRST_NAME বাছাই করুন, last_name, users_table কোথায় করুন আপনার ব্যবহাকারীর নাম = 'থেকে account_number$USER_NAME'এবং পাসওয়ার্ড ='$পাসওয়ার্ড' ";

$ফলে = mysql_query( $ক্যোয়ারী );

// মাইএসকিউএল কিছু পাওয়া যায় কিনা, এটা সফল হলে এবং রেকর্ড পেতে
যদি ( mysql_num_rows( $ফলে ) > 0 ) {
    $তথ্য = mysql_fetch_assoc( $ফলে );
    echo 'স্বাগতম' . $ব্যবহারকারী . '!';
    echo 'আপনার অ্যাকাউন্ট সংখ্যা: ' . $তথ্য[ 'Account_number' ] . '';
} //Errorr পাঠান প্রিন্ট আউট
অন্য {
    echo 'ব্যবহারকারীর নাম বা পাসওয়ার্ড বৈধ নয়! দয়া করে পুনরায় চেষ্টা!';
}
?>

 

উপরের স্ক্রিপ্ট কাজ করে জরিমানা এবং এটা তাদের ব্যাংক অ্যাকাউন্ট নম্বর দেখতে প্রকৃত ব্যবহারকারীরা তাদের ব্যবহারকারীর নাম ও পাসওয়ার্ড লিখুন অনুমতি দেবে.
 

আমি প্রবেশ অনুমান করা যাক “ডেমো” আমার ব্যবহারকারী নাম হিসাবে, এবং “demopass” আমার পাসওয়ার্ডটি, তারপর মাইএসকিউএল প্রেরণ করা হয় যে এসকিউএল কোয়েরি ভালো দেখায় হবে:
 

1
বাছাই করুন FIRST_NAME, last_name, account_number থেকে users_table কোথায় ব্যবহারকারীর নাম = 'ডেমো' এবং পাসওয়ার্ড = 'Demopass' ;

 

আমাদের ইনপুট ডেটা ডাটাবেসের মধ্যে সফলভাবে যাচাই করা হয় তাহলে, তারপর আমরা সিস্টেমের মধ্যে লগ করা হবে না এবং আমরা অন্য অ্যাকাউন্ট নম্বর প্রদর্শন করা হবে আমরা সিস্টেমে অ্যাক্সেস পাবেন না এবং আমরা একটি ত্রুটির বার্তা প্রদর্শন করা হবে “ব্যবহারকারীর নাম বা পাসওয়ার্ড বৈধ নয়! দয়া করে পুনরায় চেষ্টা!
 

দূষিত ব্যবহারকারী এসকিউএল স্টেটমেন্ট বিনষ্ট বোঝানো হয় যে অন্যান্য অক্ষরের প্রবেশ করে তখন সমস্যা.
 

একটি ব্যবহারকারী ব্যবহারকারী নাম হিসাবে লগইন করার চেষ্টা করে যে এর অনুমান করা যাক dem'o এবং পাসওয়ার্ডটি demopass.
 

এখন, এসকিউএল স্টেটমেন্ট মত দেখায় কিভাবে দেখতে দিন এর.
 

1
বাছাই করুন FIRST_NAME, last_name, account_number থেকে users_table কোথায় ব্যবহারকারীর নাম = ''দী'এবং পাসওয়ার্ড ='demopass' ;

 

মাইএসকিউএল বক্তব্য নির্বাহ হয়, এটি শুধুমাত্র বিবেচনা করবে “দী” ব্যবহারকারীর নাম এবং যখন এটা অন্য encounters ‘দী', তারপর, এটা একইরূপে ‘দী‘ একটি SQL কমান্ড হিসাবে এবং এটা স্বীকার করে না এটা পাঠান নিক্ষেপ এবং ত্রুটি করা ‘দী‘ একটি বৈধ SQL কমান্ড হিসাবে.
 
ERROR 1064 (42000): আপনি আপনার এসকিউএল সিনট্যাক্স একটি ত্রুটি আছে; 'হে কাছাকাছি ব্যবহারের অধিকার সিনট্যাক্স জন্য আপনার মাইএসকিউএল সার্ভার সংস্করণ যে অনুরূপ ম্যানুয়াল চেক’ এবং পাসওয়ার্ড =”demopass”; ” লাইনে 1
 

সন্ত্রস্ত. উপরোক্ত ত্রুটি বার্তা এসকিউএল বাক্য গঠন মধ্যে কিছু ত্রুটি আছে যে. যদি যাদু উদ্ধৃত মূল্যসমূহঃ সক্রিয় হয়েছে, তারপর আমরা যে উপরোক্ত সমস্যা বার্তা করিয়েছি নাও হতে পারে.
 

এখন, এর দূষিত ব্যবহারকারী হিসাবে ব্যবহারকারীর নাম প্রবেশ করে কি যদি দেখতে দিন (‘ বা '1' = '1) এবং পাসওয়ার্ডটি “demopass“.

এসকিউএল কোয়েরি ভালো হবে:

1
বাছাই করুন FIRST_NAME, last_name, account_number থেকে users_table কোথায় ব্যবহারকারীর নাম = '' বা '1 '='1 ' এবং পাসওয়ার্ড = 'Demopass' ;

 

উপরোক্ত এসকিউএল কোয়েরি অর্থ কি? এটা সমান ব্যবহারকারীর নামের সাথে সব সারি খুঁজে মাইএসকিউএল বলে “” (ফাঁকা) বা (1= 1) এবং সমান একটি পাসওয়ার্ড “demopass“.
 

এর এসকিউএল স্টেটমেন্ট দিয়ে আসলে কি ভুল বুঝতে আরো কথাটি উপরে এসকিউএল কোয়েরি প্রতিনিধিত্ব যাক:
 

username = “” বা “1= 1” ও পাসওয়ার্ড = “demopass”
 

এখন, আমরা ইতিমধ্যে = 1 1 সর্বদা সত্য হতে যাচ্ছে জানি. অত: পর, পাসওয়ার্ড সঠিক এবং ব্যবহারকারীর নাম ভুল হলে ব্যবহারকারীকে সিস্টেম লগইন করতে পারবেন.
 

এর একটি আলাদা আক্রমণ স্ট্রিং সঙ্গে আরো খারাপ দৃশ্যকল্প বিশ্লেষণ করা যাক.
 

আক্রমণ স্ট্রিং: ‘ বা 1 = 1–
 

অনুগ্রহ করে লক্ষ্য করুন যে ( এবং #) ব্যবহার করা হয় এসকিউএল স্টেটমেন্ট বিনষ্ট. এর একটি SQL কোয়েরি মধ্যে আক্রমণ স্ট্রিং করা যাক এবং চূড়ান্ত এসকিউএল স্টেটমেন্ট দেখবে কিভাবে দেখতে.
 

এখন, আমরা আক্রমণকারী এমনকি শব্দচাবি না জানে অনুমান করবে.
 

1
বাছাই করুন FIRST_NAME, last_name, account_number থেকে users_table কোথায় ব্যবহারকারীর নাম = '' বা 1=1--'এবং পাসওয়ার্ড =' idonotknow ' ;

 

এসকিউএল স্টেটমেন্ট মাইএসকিউএল দ্বারা ব্যাখ্যা করা হয় তা দেখুন.
 

username = “” বা 1 = 1– ও পাসওয়ার্ড = “idonotknow”
 

দয়া করে জ্ঞাত হোন উপরোক্ত বিবৃতিতে. আমরা যে জানি একটি বিবৃতি এসকিউএল মধ্যে টারমিনেটর এবং 1= 1 সর্বদা সত্য, এসকিউএল কোয়েরি বিবৃতি টারমিনেটর বিশ্রাম মৃত্যুদন্ড কার্যকর করা পরে.
 

অত: পর, টেবিলে সব রেকর্ড ফিরে পেতে হবে এবং ব্যবহারকারী সিস্টেমের মধ্যে লগ করা হবে না. আক্রমণকারী ডাটাবেসের মধ্যে প্রথম রেকর্ড অ্যাকাউন্ট নম্বর দেখতে সক্ষম হবে.
 

এর নির্দোষ মাইএসকিউএল সাহায্য চলুন শুরু করা যাক
 

যাদু উদ্ধৃত মূল্যসমূহঃ

 

যাদু উদ্ধৃত মূল্যসমূহঃ পিএইচপি স্ক্রিপ্টিং ভাষার একটি বিতর্কিত বৈশিষ্ট্য, বিশেষ অক্ষর নেভিগেশন অতিক্রান্ত হবার আগে একটি ব্যাকস্ল্যাশ সঙ্গে PReP-শেষ হয় যাহাতে.
 

যাদু উদ্ধৃত মূল্যসমূহঃ নতুন ইনস্টলেশনের মধ্যে ডিফল্টরূপে সক্রিয় করা হয়েছে PHP3 এবং PHP4, এবং তাদের অপারেশন দৃশ্যগুলো পিছনে হয় এবং অবিলম্বে সুস্পষ্ট দেখাও, ডেভেলপারদের তাদের অস্তিত্ব এবং তারা পরিচয় করিয়ে দিতে পারেন যে সম্ভাব্য সমস্যার অবিদিত হতে পারে.
 

আমরা চালু করতে হবে যাদু উদ্ধৃত মূল্যসমূহঃ মধ্যে php.ini ওয়েবসাইট ওয়েব root-ব্যতীত ফাইল.
 

কিভাবে যাদু উদ্ধৃত মূল্যসমূহঃ সাহায্য?

 

আমরা মনে করি এই উক্তি অক্ষর অব্যাহতি করা প্রয়োজন ( একক এবং ডবল উভয় উদ্ধৃতি, সেইসাথে backslashes).
এর ফলে তাদের সামনে একটি স্ল্যাশ নির্বাণ দ্বারা সম্পন্ন করা হয়.
 

So usename = dem'o হয়ে Dem 'হে , হিসাবে এটা এবং মাইএসকিউএল যে উদ্ধৃতি চিহ্ন সঙ্গে কাজ করে দেখতে পারেন “সংরক্ষিত” স্ল্যাশ দ্বারা.
 

এর কি হবে যখন দেখতে দিন যাদু উদ্ধৃত মূল্যসমূহঃ চালু. এর আক্রমণকারী যাদু দর দিয়ে প্রভাবিত হয় কিভাবে দেখতে দিন.
 

1
বাছাই করুন FIRST_NAME, last_name, account_number থেকে users_table কোথায় ব্যবহারকারীর নাম = '\' বা = 1 1 - ' এবং পাসওয়ার্ড = 'Idonotknow' ;

 

ব্যবহারকারীর নাম হিসেবে ব্যাখ্যা করা হয়: \’ বা 1 = 1–

যে একটি পুরোপুরি এর এসকিউএল কোয়েরি পলান, কিছুই ইনজেকশনের পেতে পারেন. magic_quotes_gpc আমাদের জন্য বিপজ্জনক একক উদ্ধৃতি পালাতে. অত: পর, আক্রমণকারী সিস্টেম লগ ইন করতে পারবেন না.

যাদু দর সঙ্গে সমস্যা

 

যাদু কোট মাত্র কয়েক অক্ষরের আগে একটি ব্যাকস্ল্যাশ সন্নিবেশ, আর কিছুই. এই সমবায় প্রকোপ দ্বারা শুধুমাত্র উপরের এবং শুধুমাত্র মত কিছু বিশেষ ক্ষেত্রে এসকিউএল ইনজেকশন থেকে আমাদের রক্ষা করে. আমরা যদি অন ​​display_errors, আমরা শুধু আপনার ডাটাবেস বিবরণ সঙ্গে খুব খুশি আক্রমণকারী অধিকার তার চোখের সামনে outputted তৈরি. আপনি না, এমনকি যদি, এখনও অন্ধ এসকিউএল ইনজেকশন এবং অগ্রিম এসকিউএল ইনজেকশন পদ্ধতি ব্যবহার করে একটি সম্ভাবনা এটি বাইপাস করা সম্ভব আছে magic_quotes_gpc কাজ.
 
তাই, আমরা ন্যক্কারজনক না যে তথ্য escaping একটি উপায় প্রয়োজন, অক্ষর সমষ্টি বিষয় হিসেবে প্রবণ নয়, এবং জাদু প্রজনন slashed কোট নত হয় না.
 
মধ্যে নভেম্বর 2005 কোর পিএইচপি ডেভেলপারদের এই সমস্যার অ্যাকাউন্টের উপর সিদ্ধান্ত নিয়েছে যে জাদু উদ্ধৃতি বৈশিষ্ট্য পিএইচপি থেকে সরিয়ে ফেলা হবে 6.
একবার যাদু কোট বৈশিষ্ট্য প্রত্যাহার করা হয়, তারপর ফসল তোলা কিছু গুরুত্বপূর্ণ সমস্যা হতে যাচ্ছে.
 

এসকিউএল ইনজেকশন প্রশমন
 

প্রতিরোধ করার উপায় একটি নম্বর আছে মাইএসকিউএল মধ্যে ইনজেকশনও পিএইচপি. সবচেয়ে সাধারণ উপায় যেমন ফাংশন ব্যবহার করা হয় addslashes() এবং mysql_real_escape_string().
 

addslashes()

 

addslashes() ডাটাবেস কাজকর্মের sanitized করা প্রয়োজন যে অক্ষরগুলি দেখছেন সেগুলি আগে একটি ব্যাকস্ল্যাশ সঙ্গে একটি স্ট্রিং ফিরে আসবে. এই অক্ষরগুলি একক উদ্ধৃতি চিহ্ন আছে (‘ = ’) ডবল কোট (” = ”) এবং nullbyte (%00 = \0).
 

addslashes() ক্যোয়ারী পংক্তিতে উদ্ধৃতিচিহ্নের মধ্যে আবৃত হলে শুধুমাত্র কাজ করবে. সময় নিম্নলিখিত একটি স্ট্রিং এখনও একটি এসকিউএল ইনজেকশন প্রবন হতে হবে:
 

1
2
3
$USER_NAME = addslashes( $_POST[ 'আপনার ব্যবহাকারীর নাম' ] );
$পাসওয়ার্ড  = addslashes( $_POST[ 'পাসওয়ার্ড' ] );
$ক্যোয়ারী = "FIRST_NAME বাছাই করুন, last_name, users_table কোথায় করুন আপনার ব্যবহাকারীর নাম = 'থেকে account_number$USER_NAME'এবং পাসওয়ার্ড ='$পাসওয়ার্ড' ";

mysql_real_escape_string()

 

mysql_real_escape_string() আর একটি সামান্য বিট আরো শক্তিশালী addslashes() এটি মাইএসকিউএল এর লাইব্রেরি ফাংশন কল হিসাবে mysql_real_escape_string, নিম্নলিখিত অক্ষরগুলি আপনি backslashes prepends যা: \x00, \N, \R, \, ', ” এবং x1a.
 

সঙ্গে addslashes(), mysql_real_escape_string() ক্যোয়ারী পংক্তিতে উদ্ধৃতিচিহ্নের মধ্যে আবৃত হলে শুধুমাত্র কাজ করবে. সময় নিম্নলিখিত একটি স্ট্রিং এখনও একটি এসকিউএল ইনজেকশন প্রবন হতে হবে:
 

1
2
3
$USER_NAME = mysql_real_escape_string( $_POST[ 'আপনার ব্যবহাকারীর নাম' ] );
$পাসওয়ার্ড  = mysql_real_escape_string( $_POST[ 'পাসওয়ার্ড' ] );
$ক্যোয়ারী = "FIRST_NAME বাছাই করুন, last_name, users_table কোথায় করুন আপনার ব্যবহাকারীর নাম = 'থেকে account_number$USER_NAME'এবং পাসওয়ার্ড ='$পাসওয়ার্ড' ";

 

sprintf()

 

sprintf() গতিশীল যুক্তি এটা চিকিত্সা করা যায় আপনি অনুমান পথ চিকিত্সা করা হয় তা নিশ্চিত করার জন্য রূপান্তর স্পেসিফিকেশনের সঙ্গে ব্যবহার করা যেতে পারে. উদাহরণস্বরূপ, ব্যবহারকারী আইডি নম্বর জন্য একটি কল স্ট্রিং মধ্যে ছিল, %গণ যুক্তি একটি স্ট্রিং হিসেবে গণ্য করা হয় তা নিশ্চিত করার জন্য ব্যবহার করা হবে. নিম্নরূপঃ এই একটি উদাহরণ:
 

1
2
3
$USER_NAME = $_POST[ 'আপনার ব্যবহাকারীর নাম' ];
$পাসওয়ার্ড  = $_POST[ 'পাসওয়ার্ড' ];
$ক্যোয়ারী = sprintf("FIRST_NAME বাছাই করুন, last_name, users_table কোথায় করুন আপনার ব্যবহাকারীর নাম = 'থেকে account_number%গণ'এবং পাসওয়ার্ড ='%গণ' ", $USER_NAME, $পাসওয়ার্ড);

 

htmlentities($ছিল, ENT_QUOTES)

 

htmlentities() ঐচ্ছিক দ্বিতীয় quote_style পরামিতি সাথে, পারবেন ব্যবহার ENT_QUOTES, ডাবল এবং একক উভয় কোট রূপান্তর করবে. এই একই অনুভূতি হিসাবে কাজ করবে addslashes() এবং mysql_real_escape_string() উদ্ধারচিহ্ন প্রকাশকে, কিন্তু, এর পরিবর্তে একটি ব্যাকস্ল্যাশ prepending এর, এটি উদ্ধরণ চিহ্ন HTML-সত্তা ব্যবহার করা হবে.
 

ব্যবহার ছাড়াও ENT_QUOTES মধ্যে htmlentities(), তৃতীয় পরামিতি রূপান্তর মধ্যে সেট একটি অক্ষর ব্যবহার বাধ্য করে যা নির্ধারণ করা যাবে. এই ব্যবহার থেকে unpredicted ফলাফল থামাতে সাহায্য করবে multibyte অক্ষর অক্ষর যেমন সেট করে BIG5 এবং GPK.
 

নিম্নলিখিত প্রতিরোধ করতে সাহায্য করবে কোড একটি উদাহরণ এসকিউএল ইনজেকশন পিএইচপি.
 

1
2
3
4
5
$USER_NAME = $_POST[ 'আপনার ব্যবহাকারীর নাম' ];
$USER_NAME = htmlentities( $USER_NAME, ENT_QUOTES, 'UTF-8' );
$পাসওয়ার্ড  = $_POST[ 'পাসওয়ার্ড' ];
$পাসওয়ার্ড  = htmlentities( $পাসওয়ার্ড, ENT_QUOTES, 'UTF-8' );
$ক্যোয়ারী = "FIRST_NAME বাছাই করুন, last_name, users_table কোথায় করুন আপনার ব্যবহাকারীর নাম = 'থেকে account_number$USER_NAME'এবং পাসওয়ার্ড ='$পাসওয়ার্ড' ";

 

অপ্টিমাইজ এসকিউএল কোড

 

ডাটাবেস সার্ভার জটিল beasts এবং তারা আপনি প্রয়োজন তুলনায় অনেক বেশি কার্যকারিতা নেই. যতদুর নিরাপত্তা উদ্বিগ্ন হয়, আরো ভালো হয় না. উদাহরণস্বরূপ, দী xp_cmdshell সঞ্চিত পদ্ধতি বাড়ানো এমএস এসকিউএল শেল অ্যাক্সেস দেয় এবং এই মাত্র কি একজন হ্যাকার স্বপ্ন হয়. আপনি এই পদ্ধতি এবং অন্য কোন কার্যকারিতা নিষ্ক্রিয় উচিত কেন, সহজেই অপব্যবহার করা যেতে পারে যা. আপনি ছাড়া কি করতে পারেন যে কোনো কার্যকারিতা শুধু অপসারণ বা অন্তত নিষ্ক্রিয়.
 

ডিফল্ট এসকিউএল ত্রুটি বার্তা অক্ষম করুন

 

তারা ডাটাবেস এবং এসকিউএল কোয়েরি সম্পর্কে আরো তথ্য দিতে কারণ ত্রুটি বার্তা একটি আক্রমণকারী করার উপযোগী. এবং সব এসকিউএল আছে সাধারণত এসকিউএল দ্বারা জারি ত্রুটির ধরনের উপর ভিত্তি করে করা হয়, এটা ভুল যে ধরনের ওয়েবসাইট অথবা অ্যাপ্লিকেশন হ্যাকিং জন্য হ্যাকারদের পদ্ধতির সিদ্ধান্ত নেয় মানে. নিরাপত্তার সাথে আপোস না যে একটি ভাল সমাধান একটি প্রদর্শন করা হবে জেনেরিক ত্রুটি পাঠান কেবল একটি ত্রুটি ঘটেছে যুক্তরাষ্ট্রের যে.
 

নিরাপদভাবে ডাটাবেস প্রমাণপত্রাদি সঞ্চয় করুন

 

একটি ক্ষেত্রে ক্ষতি হ্রাস করার জন্য এসকিউএল ইনজেকশন আক্রমণ, সবসময় একটি পৃথক এনক্রিপ্ট করা ফাইল ডাটাবেস প্রমাণপত্রাদি সংরক্ষণ. একটি হ্যাকার মধ্যে বিরতি পরিচালনা এখন, এমনকি যদি, তিনি আপনার ডাটাবেসের মধ্যে অনেক কিছু করতে না পারে সে অনেক উপকার হবে না,.
 

লঘিষ্ট হয়নি অধ্যক্ষ ব্যবহার করুন

 

অন্তত বিশেষাধিকার নীতি অত্যন্ত উপকারী এবং এটি প্রযোজ্য এসকিউএল ইনজেকশনও সেইসাথে. সবসময় মনে করি বা কি দুইবার চেক বিশেষাধিকার আপনি প্রদান করা হয় ব্যবহারকারী বা বস্তু. আপনি কিছু ব্যবহারকারীকে মডারেটরের এক্সেস প্রদান Wan ধরুন, তাই শুধুমাত্র তাকে তিনি / সে প্রয়োজন যারা যা সারণির এক্সেস প্রদান, বরং তাকে সম্পূর্ণ ডাটাবেসের এক্সেস প্রতিপাদন আর. আপনি একটি সিস্টেম অ্যাক্সেস দেওয়ার থাকে তাহলে, তার ভাল ডাটাবেস ভিতরে পার্টিশন টেবিল স্পেস তৈরি এবং শুধুমাত্র নির্দিষ্ট টেবিল স্পেস ব্যবহার করার সুযোগ প্রদান. এই টেকনিক পাবেন আয়তন বহুলাংশে আক্রমণ সারফেস হ্রাস.
 

শাঁস অক্ষম করুন

 

অনেক উপাত্ত শেল ব্যবহারের প্রস্তাব মূলত কি কোনো আক্রমণকারী বা হ্যাকার চাহিদা যা ডাটাবেসের. আপনি যদি এই খোলা loophole বন্ধ করার প্রয়োজন এই কারণে. প্রতিটি সেবা প্রদানকারী বিভিন্ন পদ্ধতি আছে শাঁস কার্যকর নিষ্ক্রিয় তাদের ডাটাবেস. তাই আপনার নির্দিষ্ট ডাটাবেস অথবা টেবিল স্থান বা বিশেষ টেবিলের জন্য শেল ব্যবহার নিষ্ক্রিয় করতে কিভাবে আপনার ডাটাবেস নথিপত্র পড়ুন.
 

ভঙ্গুরতার চেক এসকিউএল ইনজেকশন সরঞ্জাম ব্যবহার করুন

 

শেষে থাকলেও গুণে কমতি নয় এমন, হ্যাকার এর মত মনে. কিভাবে একটি হ্যাকার মাধ্যমে আমার ডাটাবেস হ্যাক করতে পারেন এসকিউএল ইনজেকশন, তিনি সমস্যা এটি ব্যবহার করতে পারেন কি সরঞ্জাম ও কৌশল. আপনি সর্বদা মত এসকিউএল ইনজেকশন হ্যাক সরঞ্জামের একটি শুষ্ক সংখ্যা থাকতে হবে SQLi, Haviz, এসকিউএল injectme ইত্যাদি. তারপর আপনি রেটিনা দুর্বলতার স্ক্যানার সামর্থ আরো যদি তার খুব ভাল. এটা সব সর্বশেষ উদ্ভাসিত দুর্বলতা নিয়ে গঠিত হিসাবে.

আপনাকে অনেক ধন্যবাদ. আমি আপনি সব উপভোগ করতে হবে আশা করি. আমরা আরো ভালো করতে পারে, যাতে মন্তব্য জানাবেন.

 
 

28,915 মোট দেখেছে, 14 দেখ আজ

নিম্নলিখিত দুটি ট্যাব নীচের বিষয়বস্তু পরিবর্তন.

Ashfaq আনসারি

নিরাপত্তা গবেষক
আশফাক আনসারীর প্রতিষ্ঠাতা HackSys টিম নামক কোড "প্যানথেরা". তিনি তথ্য নিরাপত্তা বিভিন্ন বৈশিষ্ট্য অভিজ্ঞতার সঙ্গে একটি নিরাপত্তা গবেষক হয়. তিনি রচনা করেছেন "HackSys চরম অরক্ষিত ড্রাইভার" এবং "মৃত্যু Shellcode". তিনি লিখিত এবং নিম্ন স্তরের সফ্টওয়্যার শোষণ বিভিন্ন শ্বেতপত্রগুলি প্রকাশ করেছে. তার কোর সুদ এই ব্যবস্থার সবচেয়ে গুরত্বপূর্ণ "নিম্ন শ্রেনী শোষণ", "রিভার্স ইঞ্জিনিয়ারিং", "প্রোগ্রাম বিশ্লেষণ" এবং "হাইব্রীড Fuzzing". তিনি কৃত্রিম বুদ্ধিমত্তা এবং মেশিন লার্নিং একটি Fanboy হয়. তিনি অধ্যায় সীসা নাল পুনে.

একটি উত্তর ত্যাগ

আপনার ইমেল ঠিকানা প্রকাশিত হবে না. প্রয়োজনীয় ক্ষেত্রগুলি চিহ্নিত হয় *