Dla każdego programisty największą porażką jest moment, kiedy wychodzi na jaw, że jego skrypt okazał się podatny na atak. Atak który spowodował różnego rodzaju. Od podmiany strony głównej, przez przekierowaniu na porno i kończąc na kradzieży danych wrażliwych (klientów, użytkowników, etc.). Wszystko dlatego, że przez podmianę jednej wartości zmiennej przesyłanej metodą GET, skrypt się wyłożył i pojawił się komunikat z błędem." />

10.01.2009 5 Bezpieczeństwo stron WWW 3 minuty czytania

Ataki SQL Injection

W najnowszym numerze czasopisma hackin9 (1/2009) jest artykuł poświęcony tym zagadnieniom. Począwszy od dokładnemu opisaniu podstawowych błędów, po bardziej zaawansowane próby wstrzyknięcia złośliwego kodu SQL.

Te najprostsze przykłady można znaleźć nawet na wikipedii, gdzie są opisane przykłady źle napisanych aplikacji z wykorzystaniem bazy danych SQL. Teraz na szczęście takich błędów się nie popełnia, chyba że przez baaardzo początkujących.

Pisząc zaawansowane, nie mam na myśli podmiany cyferek w zmiennej lecz coś w tym rodzaju:

http://strona.pl/?id=xx&zmienna=cos;DACLARE%20@S%20VARCHAR(4000);SET%20@S=CAST(.....)...

Gdyby ktoś chciał się pobawić wstrzykiwaniem magicznych zaklęć SQL to polecam stronę znanej aktorki – Joanny Brodzik ;). Przykład jednego zapytania, które się wykonuje:

http://www.joannabrodzik.pl/index.php?go=aktu&id=11 or 12&page=1

Nie ma tutaj żadnej walidacji parametru id.

Gdyby autor tej strony zapoznał się z tym artykułem, dowiedziałby się, że najprostszym sposobem jest rzutowanie zmiennej – w tym przypadku $_GET['id'] na int. Dzięki czemu takie zapytanie nie przejdzie.

Fajną sprawą w tym artykule jest to, że zostały pokazane również próby ataków na aplikacje pisane w ASP oraz różnice w językach podczas zabezpieczenia aplikacji.

Lekturę tego artykułu polecam każdemu – nawet tym PRO.

Komentarze 5

sf www 12.01.2009 11:11:03

A czy autor jest PRO? Czy znowu używa mysql_* zamiast PDO i pokazuje te same triki znane od lat, omówione już wielokrotnie w artykułach prasowych i umieszczonych w internecie? ;)

shpyo www 12.01.2009 11:38:15

Autorem tekstu jest jakiś makaroniarz - Antonio Fanelli ;). Tak, opisuje przykłady SQL jak dla początkujących - to samo jest na wikipedii ;)

Sylwia www 13.01.2009 10:56:23

Teraz się pojawił nowy wirus, tzn jakiś czas temu, który z kolei do ftp dorzuca kod, trudno to wykryć bo mało kto zagląda do kodów bezpośrednio na serwerze, tylko potem Google odznacza takie strony zaraz jako niebezpieczne. Co do Mysql to podstawa to systematyczny backup.

jib www 01.02.2009 03:07:53

a może ktoś poleci jak ławo się zabezpieczyć przed tego typu atakiem;?
ostatnio na mojej stronie pojawia się okienko z komunikatem błędu, nie rozumiem tego zbytnio, czy ktoś zmienił mój kod? jak mogę to naprawić, jestem przekonany że sprawa dotyczy injection.

Michał www 05.05.2009 19:53:53

u mnie na stronie jest bezpiecznie www.forum-wszystko.pl.tl

Dodaj komentarz

Jakub Wasielewski

Ponad 11 lat w branży pozycjonowania. Zajmuje 5 miejsce w Mistrzostwach Polski Pozycjonowania Stron. Autor wielu artykułów tego bloga.
---------------------------------------
redakcja(at)seoninja.pl

Paulina Szydłowska

Zawodowo pisze. Hobbystycznie czyta. Czas wolny od literek poświęca rodzinie, znajomym i kotu (niekoniecznie w tej kolejności). Z ogromną przyjemnością tworzy teksty na tego bloga i skrycie marzy o przybiciu piątki z Johnem Muellerem.

Piotr Cichosz

Frontend developer. Tworzy zaawansowane systemy webowe w JS. Swoją wiedzę nt. SEO wykorzystuję do rozwijania własnych projektów. Prowadzę teraz bloga technologicznego oraz bloga o Apple

SEONinja

Kategorie

Zwierzaczki Google

Tagi

Ostatnie wpisy

05.10.2023 1

Recykling treści – jak robić to dobrze?

Najnowsza aktualizacja Google, czyli kolejna poprawka do Helpful Content, uderza w strony, na których praktykuje się tzw. fałszywe aktualizacje. Oznacza to, że manipulacja datami, aby content wydawał się świeży, nie będzie mile widziana przez algorytmy. Właśnie dlatego warto skupić się na tym, aby recykling treści praktykować jak należy i sprawić, że stare teksty zyskają nową wartość.

28.09.2023 2

25 ciekawostek o Google na 25 urodziny!

To już ćwierć wieku, odkąd możemy się cieszyć benefitami korzystania z najpopularniejszej wyszukiwarki na świecie. 25 urodziny Google przypadają 27.09.2023. Przez ostatnie lata wspólnie odkrywaliśmy nowe funkcje, załamywaliśmy ręce nad kolejnymi aktualizacjami algorytmów i sprawdzaliśmy, co jeszcze wymyślą twórcy. Można uwielbiać to przedsiębiorstwo za innowacje, które wprowadza albo uważać za bezduszną korporację, ale zdecydowanie warto mieć wiedzę na ten temat. Poniżej 25 ciekawostek o Google.

21.09.2023 5

Jakość strony a indeksowanie – co na to eksperci z Google?

W temacie jakości stron, które wyświetlają się w SERP, opinie ekspertów z Google nie zaskakują. Wyszukiwarka nastawiona jest przede wszystkim na to, aby premiować content, który jest pomocny i prezentuje wysoki standard. Oczywiście dobre treść wciąż nie gwarantują, że wylądujemy na wysokich pozycjach, jednak niewątpliwie dają przewagę. Jak się jednak okazuje, jakość strony wpływa również na kwestie indeksowania. W jaki sposób? O tym opowiadają John Mueller oraz Gary Illyes w podcaście Search Off the Record.

31.08.2023 0

From the Internet to the table – SEO tips for restaurant owners

We already know that SEO is extremely important factor for success in many fields, especially e-commerce. However, you can find people here and there who believe that Google rankings aren’t their concern. They are mostly entrepreneurs engaged in brick-and-mortar types of business, including restaurants and dining places. If you are one of them, you have to be aware, that local SEO is a thing. Your competitors competitors probably already know this and in fact, they might already be serving clients who could have been yours. Check out a few tips from us and learn how you can get the upper hand.

24.08.2023 0

Maszyna ruszyła – sierpniowa aktualizacja Google jest właśnie wdrażana

Główne aktualizacje algorytmów wyszukiwarki zdarzają się kilka razy w roku, do czego Google zdążyło już nas przyzwyczaić. Większe i mniejsze zmiany w funkcjonowaniu mechanizmów wyszukiwania są wprowadzane cały czas, jednak o tych najbardziej znaczących, jesteśmy informowani na bieżąco. 22 sierpnia 2023 na koncie twitterowym Google Search Central pojawił się wpis powiadamiający o tym, że właśnie wdrażana jest sierpniowa aktualizacja. Czy można przypuszczać, że będzie ich więcej w tym roku? Co robić w związku z nadchodzącymi zmianami?