Rabu, 9 Januari 2013

Penggunaan dan cara mengelakkan sql injection

SQL INJECTION apa yang anda tahu ?
Pertama sekali saya ingin memberitahu bahawa saya tidak akan bertanggung jawab sama sekali atas apa yang berlaku dari apa yang saya tunjukkan ini. Saya cuma ingin menunjukkan bagaimana untuk mencuba tahap keselamatan terhadap laman web atau blog anda.
Ini adalah contoh laporan bagaimana sql injection dilakukan.

Ini adalah contoh bagaimana sql injection dijalankan. Ia biasanya menggunakan banyak sambungan sql dalam 1 masa (biasanya lebih dari 50 sambungan). Untuk mengelakkan ini berlaku anda perlu menghadkan sambungan sql pada 1 masa seperti disini.

Jika anda pernah menggunakan wordpress ataupun joomla sebagai blog anda mungkin pernah berjumpa dengan fail yang bernama .HTACCESS.. Fail ini menggunakan bahasa CGI skript sebagai bahasa aturcara dan digunakan utk mengawal perjalanan apache,php,mysql dan lain-lain di direktori awam. Fail ini juga boleh digunakan untuk menyekat alamat IP, domain dan juga user agent yang diyakini ia adalah spam.
Ini adalah contoh aturcara untuk menyekat alamat IP menggunakan fail .HTACCESS:
<Limit GET POST>
order allow,deny
#Senaraikan alamat ip dibawah ini
# Bluecoat
deny from 8.21.4.254
deny from 65.46.48.192/30
deny from 65.160.238.176/28
deny from 85.92.222.0/24
deny from 206.51.36.0/22
deny from 216.52.23.0/24

# Yandex
deny from 77.88.0.0/18
deny from 77.88.22.0/23
deny from 77.88.24.0/21
deny from 77.88.24.0/22
deny from 77.88.28.0/22
deny from 77.88.36.0/23
deny from 77.88.42.0/23
deny from 77.88.44.0/24
deny from 77.88.50.0/23
deny from 87.250.224.0/19
deny from 87.250.230.0/23
deny from 87.250.252.0/22
deny from 93.158.128.0/18
deny from 93.158.137.0/24
deny from 93.158.144.0/21
deny from 93.158.144.0/23
deny from 93.158.146.0/23
deny from 93.158.148.0/22
deny from 95.108.128.0/17
deny from 95.108.128.0/24
deny from 95.108.152.0/22
deny from 95.108.216.0/23
deny from 95.108.240.0/21
deny from 95.108.248.0/23
deny from 178.154.128.0/17
deny from 178.154.160.0/22
deny from 178.154.164.0/23
deny from 199.36.240.0/22
deny from 213.180.192.0/19
deny from 213.180.204.0/24
deny from 213.180.206.0/23
deny from 213.180.209.0/24
deny from 213.180.218.0/23
deny from 213.180.220.0/23

#benarkan alamat ip lain utk mengakses blog/website anda
allow from all
</Limit>


Ini pula adalah aturcara CGI skript utk mengelakkan sql injection dr pengguna.

########## Begin - File injection protection, by EzadNet
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
RewriteRule .* - [F]
########## End - File injection protection


## Mungkin menyebabkan masalah dalam website/blog anda
RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC]
RewriteRule .* - [F]

Selain itu anda boleh menggunakan aturcara ini sebagai keselamatan tambahan.
php_flag define_syslog_variables "Off"
php_flag register_globals "Off"
php_value max_execution_time "60"
php_flag mysql.allow_persistent "Off"
php_value mysql.max_connections "20"

php_value max_allowed_packet "10M"

Dan bagaimana pula untuk mencuba aturcara ini berhasil atau pun tidak ?
Buka url ini menggunakan pelayar web mozilla firefox.Ingat !! saya tidak bertanggung jawab atas apa yang anda lakukan.



Tiada ulasan:

Catat Ulasan