Home / os / wince

Maksem Site Scriptleri SQL Injection

Posted on 30 November -0001

<HTML><HEAD><TITLE>Maksem Site Scriptleri SQL Injection</TITLE><META http-equiv="Content-Type" content="text/html; charset=utf-8"></HEAD><BODY># Test Sistemi :Kali Linux 1.10 - Chrome/Firefox # Örnek :sayfa.php?hizmetler= # Açıklama :$id= $_GET['hizmetler']; $hizmet = $bag->query("select * from hizmetler where hizmet_id='$id'")->fetch(PDO::FETCH_ASSOC); # Yukarıdaki kodda sql injection açığı mevcuttur v10 sürümünden örnek olarak aldım ilk olarak get olarak çekmiÅŸ ama koruma vs yok onu intval($_GET['hizmetler']); # olarak ayarlamalı sonrasında $bag->query yerine $bag->prepare kullanmalı ve where hizmet_id='$id' bunun yerine where hizmet_id=? olarak düzenlenmesi gerekir kodun. Not:Exploit kendi yazımımdır tamda Türk'e yakışır bir biçimde nede olsa türk sitelerine zarar yerine yardım ediyoruz. Kodun nereden kaynaklı olduÄŸunu açıkladım ve nasıl düzeltilmesi gerektiÄŸinide. </BODY></HTML>

 

TOP