Miért létezik egyáltalán sql injection?
Figyelt kérdés
nem értem a szerver megkapja a text inputot or 1=1 akkor ezt miért kezeli sql kódként ilyenkor nem a "or 1=1" táblát kéne keresnie lehet hülyevagyok de nemértel help pls.2014. dec. 25. 01:25
1/2 anonim 
válasza:
válasza:Mert egy rosszul megírt oldalon azt a szöveget beilleszti egy sql kifejezésbe. Pl.:
kif = "SELECT * FROM users WHERE name ='"+nev+"';"
Ez visszaadja az adott felhasználó adatait.
Ha beírod névnek hogy "Béla", akkor ezt kapod:
SELECT * FROM users WHERE name ='Béla';
Ha beírod névnek hogy "' or '1'='1" akkor ez lesz belőle:
SELECT * FROM users WHERE name ='' or '1'='1';
Ez utóbbi mindenkinek az adatait vissza fogja adni.
Szerencsére ez már elég ritka, van arra lehetőség hogy az SQL szerverre bízzuk a paraméter feldolgozását.
2/2 anonim 
válasza:
válasza:Azért létezik, hogy paraméterezni lehessen a lekérdezést. Ez persze támadási felület is, de erre vannak trükkök, megoldások, hogy kivédjék a fejlesztők.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!