alguem poderia me explicar o que e ijection sql por que eu acho que para invadir um site com banco de dados
ne?? deveria ter um tutorial para isso para nao ter invasao no site!!
Injection Sql...? O Que E?
Started By amixel, 22/07/2006, 10:32
15 replies to this topic
#1
amixel
-
- Usuários
-
- 198 posts
www.amixel.com
- Sexo:Masculino
- Localidade:uruguaiana
- Interesses:web designe asp, php, html, programas,corel,fireworks
Posted 22/07/2006, 10:32
#2
Cristiano Galdino
-
- Administradores
-
- 3738 posts
Dark Defender
- Sexo:Masculino
- Localidade:Brasília, DF
#3
amixel
-
- Usuários
-
- 198 posts
www.amixel.com
- Sexo:Masculino
- Localidade:uruguaiana
- Interesses:web designe asp, php, html, programas,corel,fireworks
Posted 22/07/2006, 12:18
http://phpbrasil.com...icle.php/id/680
http://www.ovelho.co...p?storyid=39731
http://www.google.co.....ta=lr=lang_pt
bah cara eu estava precisando algo asim por que todos os scripts prontos sempre nao sao bem seguros !! eu vou dar uma olhada valeu!! estou estudando agora hehe!
#4
Paulo Freitas
-
- Ex-Admins
-
- 5612 posts
××××××× LRU #456504 ××××××× ××××××× LRM #364686 ×××××××
- Sexo:Masculino
- Localidade:Campinas - SP
Posted 22/07/2006, 17:04
Proteger contra SQL Injection não é tudo, aliás, não é nada. Procure saber sobre XSS (Cross-site scripting), tu verá que existem muitos outros meio de explorar falhas de um sistema.
Um bom começo seria ler o artigo da Wikipedia: en.wikipedia.org/wiki/XSS
Novamente, repito: SQL Injection não é nada.
[]’s
Até mais
Um bom começo seria ler o artigo da Wikipedia: en.wikipedia.org/wiki/XSS
Novamente, repito: SQL Injection não é nada.
[]’s
Até mais
#5
Cristiano Galdino
-
- Administradores
-
- 3738 posts
Dark Defender
- Sexo:Masculino
- Localidade:Brasília, DF
Posted 22/07/2006, 17:59
Acho que é uma precipitação afirmar isso.Novamente, repito: SQL Injection não é nada.
#6
Viper
-
- Usuários
-
- 13 posts
Novato no fórum
- Sexo:Não informado
- Localidade:Sao Paulo
Posted 22/07/2006, 19:42
Pra quem sabe ler em inglês, a IBM disponibilizou um documento muito bom, que explica com exemplos as principais falhas de segurança, é uma leitura mais do que recomendada.
O link é: http://www-128.ibm.c...wn.html?ca=drs-
Lembrando que para ler o documento ou baixar o PDF é necessario fazer um cadastro na IBM, é rapidão...
Falou!
O link é: http://www-128.ibm.c...wn.html?ca=drs-
Lembrando que para ler o documento ou baixar o PDF é necessario fazer um cadastro na IBM, é rapidão...
Falou!
#7
Paulo Freitas
-
- Ex-Admins
-
- 5612 posts
××××××× LRU #456504 ××××××× ××××××× LRM #364686 ×××××××
- Sexo:Masculino
- Localidade:Campinas - SP
Posted 22/07/2006, 19:46
He He He... eu digo nada em relação à quantidade de meios que um sistema pode ser explorado.Acho que é uma precipitação afirmar isso.Novamente, repito: SQL Injection não é nada.
Se tu se preocupar só com SQL Injection num sistema, muito provavelmente este terá inúmeras falhas.
Tome o Orkut como exemplo. Lá é possível fazer o que quisermos: postar anônimamente sem permissão, postar numa comunidade a qual não pertencemos, adicionar mais de 1.000 amigos e / ou comunidades, entre inúmeras outras falhas.
[]’s
Até mais
#8
Cristiano Galdino
-
- Administradores
-
- 3738 posts
Dark Defender
- Sexo:Masculino
- Localidade:Brasília, DF
Posted 22/07/2006, 20:07
Sim sim! Mas não adianta de nada blindar a casa e deixar a porta aberta. Tem que blindar e fechar tudo.He He He... eu digo nada em relação à quantidade de meios que um sistema pode ser explorado.
Se tu se preocupar só com SQL Injection num sistema, muito provavelmente este terá inúmeras falhas.
#9
Paulo Freitas
-
- Ex-Admins
-
- 5612 posts
××××××× LRU #456504 ××××××× ××××××× LRM #364686 ×××××××
- Sexo:Masculino
- Localidade:Campinas - SP
Posted 22/07/2006, 20:20
Mas então, é isso que eu quis dizer.Sim sim! Mas não adianta de nada blindar a casa e deixar a porta aberta. Tem que blindar e fechar tudo.He He He... eu digo nada em relação à quantidade de meios que um sistema pode ser explorado.
Se tu se preocupar só com SQL Injection num sistema, muito provavelmente este terá inúmeras falhas.
De nada adianta fechar a porta se não for blindar a casa.
Há Há Há
[]’s
Até mais
#10
Bobrinha
-
- Usuários
-
- 61 posts
Normal
- Sexo:Não informado
Posted 22/07/2006, 20:45
Aqui ta falando um experiente em ser invadido por sql injection e o que o Paulo Freitas nem leve em consideração amigo, SQL Injection é um problema serio e que precisa ser tratado com uma certa atenção em qualquer site que use banco de dados.
Digo isso por que a forma mais facil de invadir sites hoje em dia é o sql injection ou seja existe milhares de sites ensinando isso, e se não tratar suas paginas vc pode perder tudo em questão de segundos ok... va fundo no estudo sobre esse problema e procure antes de tudo solucionar o mesmo...
Digo isso por que a forma mais facil de invadir sites hoje em dia é o sql injection ou seja existe milhares de sites ensinando isso, e se não tratar suas paginas vc pode perder tudo em questão de segundos ok... va fundo no estudo sobre esse problema e procure antes de tudo solucionar o mesmo...
#11
Cristiano Galdino
-
- Administradores
-
- 3738 posts
Dark Defender
- Sexo:Masculino
- Localidade:Brasília, DF
Posted 22/07/2006, 21:07
Então, mas com a porta fechada o cara vai precisar de algo a mais do que somente os próprios pés pra entrar.De nada adianta fechar a porta se não for blindar a casa.
O consenso é que é necessário se preocupar com tudo mesmo.
#12
Paulo Freitas
-
- Ex-Admins
-
- 5612 posts
××××××× LRU #456504 ××××××× ××××××× LRM #364686 ×××××××
- Sexo:Masculino
- Localidade:Campinas - SP
Posted 22/07/2006, 23:42
O que eu disse tem tudo a ver. Proteger somente SQL Injection não basta. É preferível então que não se proteja nada (estou sendo radical, he he). Inúmeras falhas são exploradas por outros meios, que podem vir à causar danos bem maiores que do que o SQL Injection pode causar.Aqui ta falando um experiente em ser invadido por sql injection e o que o Paulo Freitas nem leve em consideração amigo, SQL Injection é um problema serio e que precisa ser tratado com uma certa atenção em qualquer site que use banco de dados.
Digo isso por que a forma mais facil de invadir sites hoje em dia é o sql injection ou seja existe milhares de sites ensinando isso, e se não tratar suas paginas vc pode perder tudo em questão de segundos ok... va fundo no estudo sobre esse problema e procure antes de tudo solucionar o mesmo...
Como eu havia dito, tome por exemplo o Orkut. Lá é o paraíso das falhas.
Muitos recorrem à proteção do SQL Injection sem nem ao menos saber que ele é apenas uma das proteções XSS possíveis. Muitos nem sabem e nunca ouviram falar em XSS. Complicado meu caro. É por tal motivo que hoje em dia à cada 10 sites que eu acesso, 9 são facilmente exploráveis de falhas (ok, 9 entre 10 é muita coisa, é só pra ilustrar a calamidade).
[]’s
Até mais
#13
victorhb
-
- Usuários
-
- 489 posts
24 Horas
- Sexo:Masculino
- Localidade:Brasília-DF
Posted 23/07/2006, 00:58
O que eu disse tem tudo a ver. Proteger somente SQL Injection não basta. É preferível então que não se proteja nada (estou sendo radical, he he). Inúmeras falhas são exploradas por outros meios, que podem vir à causar danos bem maiores que do que o SQL Injection pode causar.Aqui ta falando um experiente em ser invadido por sql injection e o que o Paulo Freitas nem leve em consideração amigo, SQL Injection é um problema serio e que precisa ser tratado com uma certa atenção em qualquer site que use banco de dados.
Digo isso por que a forma mais facil de invadir sites hoje em dia é o sql injection ou seja existe milhares de sites ensinando isso, e se não tratar suas paginas vc pode perder tudo em questão de segundos ok... va fundo no estudo sobre esse problema e procure antes de tudo solucionar o mesmo...
Como eu havia dito, tome por exemplo o Orkut. Lá é o paraíso das falhas.
Muitos recorrem à proteção do SQL Injection sem nem ao menos saber que ele é apenas uma das proteções XSS possíveis. Muitos nem sabem e nunca ouviram falar em XSS. Complicado meu caro. É por tal motivo que hoje em dia à cada 10 sites que eu acesso, 9 são facilmente exploráveis de falhas (ok, 9 entre 10 é muita coisa, é só pra ilustrar a calamidade).
[]’s
Nossa, me lembro que eu jogava um webgame, chamado e-futebol, era um jogo onde você com seu user podia chutar a cada 30 minutos e fazer um gol para seu time... Aí então o admin achou que eu estava trapaceando, aí eu pensei, vou sacanear ele... Aí eu botei no campo login <FONT FACE=white>, e fui escrever uma msg, no forum que tinha nesse jogo, a partir das minhas mensagens, todas as mensagens abaixo ficaram brancar, e ninguém podia ler, devia ter uns 12 anos nessa época, hahahha...
#14
Inu
-
- Usuários
-
- 1138 posts
Veterano
- Sexo:Masculino
- Localidade:Canela, Rio Grande do Sul, Brasil
Posted 23/07/2006, 01:00
E tem como proteger contra essas falhas XSS sem ser o sql injection apenas?
#15
Paulo Freitas
-
- Ex-Admins
-
- 5612 posts
××××××× LRU #456504 ××××××× ××××××× LRM #364686 ×××××××
- Sexo:Masculino
- Localidade:Campinas - SP
Posted 23/07/2006, 01:02
Obviamente. Como ? Estudando-as.E tem como proteger contra essas falhas XSS sem ser o sql injection apenas?
Artigo interessante: Application Security, Top Ten Application Vulnerabilities
[]’s
Até mais
1 user(s) are reading this topic
0 membro(s), 1 visitante(s) e 0 membros anônimo(s)
