3.3. Sistemada qollanılǵan qorǵanıw metodların analiz qılıw
Maǵlıwmatlar bazası menen informacıya almasıw processinde SQL hújmlerdiń saqlanıw ushın apıwayı yamasa jetilistirilgen metodlardan paydalanıw múmkin. PHP tili server tárepte islegeni sebepli maǵlıwmat almasıw processinde olardıń qáwipsizligin saqlaw ushın bul tilde arnawlı metodar jaratılǵan. Bul metodlar tıykarınan maǵlıwmatlardı ekranlaw principine tiykarlanǵan bolıp kóp hallarda maǵlıwmat formadaǵı input maydanlardan alınǵannan keyin SQL sorawlarǵa jiberilmesten aldın filtrlenedi hám odan keyin maǵlıwmatlar bazasına soraw ámelge asırıladı. Bul inekcıyalardan qorǵanıwdıń eń apıwayı usıllarınan biri bolıp esaplanadı.
“Esletpe qosıw” bólimindegi “Qosıw” túymesi basılǵan waqıtta bul forma bizdegi “add_todo.php” faylına soraw jiberedi. Bul fayldaǵı kod tómendegishe:
include("dbconnect.php");
$title = $_POST['desc'];
$date = $_POST['date'];
$q = "INSERT INTO todo (`todo`.`desc`, `todo`.`date`, `todo`.`done`)
VALUES(' ".$title."', '".$date."', 0)";
$x = mysqli_multi_query($con, $q);
if
header('Location: /index.php');
}
else {
echo('Error SQL injection!!!');
}
mysqli_close($con);
Bul kodta birinshi gezekte maǵlıwmatlar bazasına baylanıs ámelge asırıladı. Maǵlıwmatlar POST metodı arqalı jiberilgeni sebepli $_POST dan $title hám $date ózgeriwshilerine kerekli maǵlıwmatlardı alamız. Bul jerde SQL kodqa ózgeriwshiler jiberiliwden aldın heshqanday filtr processin ámelge asırılmaǵanlıǵı sebepli arnawlı simvollardı qosıw arqalı biz SQL inekcıyanı ámelge asırıwımız múmkin. Bunı tekst maydanına
1', '2021-05-29', 0); DELETE FROM todo; #
kodın jiberip tekserip kóriwimiz múmkin. Formadaǵı tekst kórinisi tómendegishe boladı.
Tekst maydanına arnawlı SQL kodtı jiberiw arqalı biz onı $title ózgeriwshisine alamız. Maǵlıwmatlar bazasına soraw qılǵan waqıtta SQL kod strukturası bizde tómedegishe kóriniste ózgeredi:
Do'stlaringiz bilan baham: |
