-->::PenGeNaLaN::<--

Assalamualaikum, salam pembuka bicara. Terlebih dahulu saya merakamkan ucapan terima kasih saya kerana sudi melawat laman blog saya ini. Tujuan blog ini dibangunkan adalah sebagai langkah memperkenalkan diri saya dan juga sebagai sumber rujukan saya serta kepada sesiapa yang meminati bidang IT khususnya network security professional. Diharapkan dengan penghasilan laman blog ini pengguna dapat mengetahui apa yang terkandung dalam network security dengan mudah dan jelas.

Monday, February 25, 2008

18 Februari 2008(Isnin)

Oleh : Cik Murni.

HOW TO PROTECT SQL INJECTION

username : 1' or '1'='1
password : 1' or '1'='1

1. Kena reject terus (pembuka kata)
cth:
$SQL=SELECT * nama penyelia tahap tahap penyelia id
FROM menyelia where username='$name' and password='$pass';
IF ($name=="1' or '1'='1" (break));

TUJUAN SQL STATEMENT
1. nak check variable $name contain
2. nak reject kalau ada single code ' ' '

*nak detect terus sql injection -->set pada server level.
-dalam server,dalam bahagian mode security, pada bahagian apache.
-setkan server level (tahap dewa-dewa)


Oleh : En. Kamal.

1. Sebelum buat sql statement, kita perlu check dahulu.
2. Kita protect pada application level.
3. Satu lagi kita protect pada server.
4. Kalau pakai apache, kita akan install mode security

*SQL - attack utk access sahaja.

Cr0ss site scripting
-kita inject parameter kat pc lain, tapi baca kat pc lain.
-panggil dari pc orang lain, run kat pc kita.

Posted by AzLaN_Mpire at 11:32 PM  

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)