1masoud
5 سال پیش توسط 1masoud مطرح شد
11 پاسخ

سوال در مورد امنیت سایت

@ali.bayat
میدونم جای این سوال اینجا نیست اما کسی اگه تخصص داره بگه من یک سایت لاراولی دارم میخوام ببینم از لحاظ sql injectionامنیتش کامله یا نه میشه راهنمایی کنید


ثبت پرسش جدید
علی بیات
تخصص : توسعه دهنده ارشد وب
@ali.bayat 5 سال پیش مطرح شد
0

درود..
SQL injection معمولا زمانی اتفاق میفته که ما یه داده از کاربر میگیریم و بدون اعمال یه سری توابع روی اون داده... ازش در کوئری‌ها استفاده میکنیم. لاراول بصورت پیش فرض داده‌های ورودی رو کنترل میکنه..
مادامی که از الکوئنت استفاده کنید مشکلی نیست

The Laravel query builder uses PDO parameter binding to protect your application against SQL injection attacks. There is no need to clean strings being passed as bindings.


1masoud
تخصص : php,laravel
@masoudproton 5 سال پیش مطرح شد
0

@ali.bayat
جاهایی eloquentاستفاده نکردم باید چیکار کنم آیا روشی هست
اگه میشه مراحل تستشم بگید


TEFO
تخصص : لاراول
@tefo.ha27 5 سال پیش مطرح شد
0

تمام جاهایی که به صورت raw کویری زدین و دیتا رو ولیدیت نکردین مشکل وجود داره
توی eloquent هم فقط جایی که ستون رو از سمت کاربر بگیرین میتونه مورد حمله sql injection قرار بگیره

در کل هر چیزی رو از کاربر میگیرین مورد اعتبارسنجی قرار بدین


علی بیات
تخصص : توسعه دهنده ارشد وب
@ali.bayat 5 سال پیش مطرح شد
0

در استفاده از الکوئنت و کوئری بیلدر مشکلی وجود نداره.. فقط متد‌های Raw رو باید حواست باشه


1masoud
تخصص : php,laravel
@masoudproton 5 سال پیش مطرح شد
0

@ali.bayat
@Alimotreb
@tefo.ha27
متوجه نشدم میشه بیشتر توضیح بدید اگه میشه تست injectionرو بگید


Alimotreb
تخصص : کانفیگ سرور و برنامه نویس
@Alimotreb 5 سال پیش مطرح شد
0

سلام
@masoudproton

فریم ورک لاراول داده های ورودی رو اگر ولیدیشن کنید و از الکوینت ها و کوئری بیلدر ها استفاده کنید تا حد خیلی زیادی از تمامی حملات به دیتابیس جلوگیری میکنه!

تست اینجکشن هم کاری نداره
داده های مخرب توی کوئری هاتون بزنید و دستورات خود Mysql رو بزنید
اگر خروجی بده ، یعنی باگ داره یه جای کار...!

در غیر این صورت نداره!


1masoud
تخصص : php,laravel
@masoudproton 5 سال پیش مطرح شد
0

@Alimotreb
میشه این قسمت رو بیشتر توضیح بدید(تست اینجکشن هم کاری نداره
داده های مخرب توی کوئری هاتون بزنید و دستورات خود Mysql رو بزنید
اگر خروجی بده ، یعنی باگ داره یه جای کار...!)یا یک سایتی رو معرفی کنید یا یک منبع برای آموزش معرفی کنید


Alimotreb
تخصص : کانفیگ سرور و برنامه نویس
@Alimotreb 5 سال پیش مطرح شد
0

نمونه آنلاین که ندارم بهتون نشون بدم
اکثرا توی گوگل سرچ کنید پیدا میکنید با دورک گوگل پیدا میکنن این موارد رو

مثلا این سایت این باگ رو داره

http://pformax.com/product.php?id=44%27

یا این سایت : http://www.afoikassaki.gr/en/product.php?id=44%27

ابزار های مختلفی هم برای اسکن و شناسایی باگ هست
توی سیستم عامل های کالی لینوکس و ........
هیچ کدوم هم از فریم ورک استفاده نکردن
همه php خام هست و موارد امنیتی رو رعایت نکردن!

موفق باشید


1masoud
تخصص : php,laravel
@masoudproton 5 سال پیش مطرح شد
0

@Alimotreb

دورک رو میدونم ولی الان سایت من که با لاراول نوشتم دورک که نداره اون رو چطوری باید ببینم sql injectionداره یا نه
اگه کسی اطلاعاتی داره بگه؟


Alimotreb
تخصص : کانفیگ سرور و برنامه نویس
@Alimotreb 5 سال پیش مطرح شد
0

سلام
@masoudproton

برادر عزیز
من و دوستان و همه جواب ها ، داریم میگیم توی لاراول SQL اینجکت اتفاق نمیوفته ! ( مگه اینکه از هیچ قابلیتی استفاده نکنید و از PHP خام استفاده کنید توش ، که هیچ کسی این کار رو نمیکنه!)
باز شما داری میگی چطوری ببینیم SQL اینجکت میشم!

عرض کردم کلی اسکنر هست !

برید سایتتون رو اسکن کنید ببینید SQL Inject میشید یا نه!!

امروز باز از اون روزایی هست که هی سوالای جنجالی و ... میپرسید!!

مقاومت شدید در برابر پاسخ ها!!


1masoud
تخصص : php,laravel
@masoudproton 5 سال پیش مطرح شد

برای ارسال پاسخ لازم است وارد شده یا ثبت‌نام کنید

ورود یا ثبت‌نام