سوال در مورد امنیت سایت
@ali.bayat
میدونم جای این سوال اینجا نیست اما کسی اگه تخصص داره بگه من یک سایت لاراولی دارم میخوام ببینم از لحاظ sql injectionامنیتش کامله یا نه میشه راهنمایی کنید
گزینش سوالات
گفت و گو های مرتبط
دسته بندی سوالات
تگهای محبوب
درود..
SQL injection معمولا زمانی اتفاق میفته که ما یه داده از کاربر میگیریم و بدون اعمال یه سری توابع روی اون داده... ازش در کوئریها استفاده میکنیم. لاراول بصورت پیش فرض دادههای ورودی رو کنترل میکنه..
مادامی که از الکوئنت استفاده کنید مشکلی نیست
The Laravel query builder uses PDO parameter binding to protect your application against SQL injection attacks. There is no need to clean strings being passed as bindings.
@ali.bayat
جاهایی eloquentاستفاده نکردم باید چیکار کنم آیا روشی هست
اگه میشه مراحل تستشم بگید
تمام جاهایی که به صورت raw کویری زدین و دیتا رو ولیدیت نکردین مشکل وجود داره
توی eloquent هم فقط جایی که ستون رو از سمت کاربر بگیرین میتونه مورد حمله sql injection قرار بگیره
در کل هر چیزی رو از کاربر میگیرین مورد اعتبارسنجی قرار بدین
در استفاده از الکوئنت و کوئری بیلدر مشکلی وجود نداره.. فقط متدهای Raw رو باید حواست باشه
@ali.bayat
@Alimotreb
@tefo.ha27
متوجه نشدم میشه بیشتر توضیح بدید اگه میشه تست injectionرو بگید
سلام
@masoudproton
فریم ورک لاراول داده های ورودی رو اگر ولیدیشن کنید و از الکوینت ها و کوئری بیلدر ها استفاده کنید تا حد خیلی زیادی از تمامی حملات به دیتابیس جلوگیری میکنه!
تست اینجکشن هم کاری نداره
داده های مخرب توی کوئری هاتون بزنید و دستورات خود Mysql رو بزنید
اگر خروجی بده ، یعنی باگ داره یه جای کار...!
در غیر این صورت نداره!
@Alimotreb
میشه این قسمت رو بیشتر توضیح بدید(تست اینجکشن هم کاری نداره
داده های مخرب توی کوئری هاتون بزنید و دستورات خود Mysql رو بزنید
اگر خروجی بده ، یعنی باگ داره یه جای کار...!)یا یک سایتی رو معرفی کنید یا یک منبع برای آموزش معرفی کنید
نمونه آنلاین که ندارم بهتون نشون بدم
اکثرا توی گوگل سرچ کنید پیدا میکنید با دورک گوگل پیدا میکنن این موارد رو
مثلا این سایت این باگ رو داره
http://pformax.com/product.php?id=44%27
یا این سایت : http://www.afoikassaki.gr/en/product.php?id=44%27
ابزار های مختلفی هم برای اسکن و شناسایی باگ هست
توی سیستم عامل های کالی لینوکس و ........
هیچ کدوم هم از فریم ورک استفاده نکردن
همه php خام هست و موارد امنیتی رو رعایت نکردن!
موفق باشید
دورک رو میدونم ولی الان سایت من که با لاراول نوشتم دورک که نداره اون رو چطوری باید ببینم sql injectionداره یا نه
اگه کسی اطلاعاتی داره بگه؟
سلام
@masoudproton
برادر عزیز
من و دوستان و همه جواب ها ، داریم میگیم توی لاراول SQL اینجکت اتفاق نمیوفته ! ( مگه اینکه از هیچ قابلیتی استفاده نکنید و از PHP خام استفاده کنید توش ، که هیچ کسی این کار رو نمیکنه!)
باز شما داری میگی چطوری ببینیم SQL اینجکت میشم!
عرض کردم کلی اسکنر هست !
برید سایتتون رو اسکن کنید ببینید SQL Inject میشید یا نه!!
امروز باز از اون روزایی هست که هی سوالای جنجالی و ... میپرسید!!
مقاومت شدید در برابر پاسخ ها!!