I BAP. SQL INEKSÍYA TIYKARǴI KLASSIFIKASIYALARI HÁM OLARDAN QORǴANIW USILLARI .
1.1. SQL inekcıya tıykarǵı klassifikaciyaları
SQL inekcıya arqalı hújimlerdi keltirip shıǵarıw ushın hár qıylı usıllardan paydalanıw múmkin. SQL inekciya járdeminde buzǵınshı autentifikaciyanı shetlep ótiwi múmkin. SQL inekciya hátte operatsion sistemada buyrıqlardı orınlaw ushın da isletiliwi múmkin, bul bolsa buzǵınshıǵa firewall shetlep ótip tarmaq elede qáwipli hújimlerge ótiwge múmkinshilik beredi.
SQL inekcıyanıń eń ápiwayı túrin tómendegi mısalda kórsek boladı:
Bul jerde apiwayı login forması keltirilgen bolıp, onıń SQL kodı tómendegishe boladı:
username = getRequestString("Username");
request = "SELECT * FROM Users WHERE Username = " + username;
Bir qatarlı kommentarıyalardan paydalanıw inekcıyadan keyin sorawdıń bir bólegin ámelge asırmawǵa múmkinshilik beredi. Mısalı, hálsiz paydalanıwshı atı maydanına admin'-- sorawın kirgiziw administrator atındaǵı derekke kiriwge múmkinshilik beredi, sebebi paroldı tekseriw process ámelge asırılmaydı. Házirde bıraq bunday hálsizlik júdá kem ushraydı.
SELECT * FROM members WHERE username = 'admin'--' AND password = 'password'
Kóp qatarlı kommentarıyalardan paydalanıw tekseriwdi ámelge asırıwǵa tosqınlıq etiwi yamasa maǵlıwmatlar bazasınıń túrin anıqlawı múmkin. Olar arqal apıwayı tekst analizatorları jumıslarına kesent etiw múmkin:
DROP/*some comment*/sampletable
DR/**/OP/*random comment to cheat*/sampletable
Autentifikacıyanıń hálsiz formasın shetlep ótiw ushın tiykarǵı sorawlardı óz ishine alǵan standart sózlik bar. Birinshi márte 10 jıl aldın baspa etilgen hám úzliksiz jańalanıp turadı.
' or 1=1
' or 1=1--
' or 1=1#
' or 1=1/*
admin' --
Do'stlaringiz bilan baham: | 
