منتدى فيجوال بيسك لكل العرب | منتدى المبرمجين العرب

منتدى فيجوال بيسك لكل العرب | منتدى المبرمجين العرب > قسم برمجة وتطوير المواقع > قسم ASP.NET > قسم اسئلة ASP.NET > كيف احمي موقعي من الـ sql enjection
نسخة كاملة : كيف احمي موقعي من الـ sql enjection
أنت حالياً تتصفح نسخة خفيفة من المنتدى . مشاهدة نسخة كاملة مع جميع الأشكال الجمالية .
الصفحات : 1 2

سعود

20-04-13, 06:08 AM
كيف احمي موقعي من الـ sql enjection

ارجو النقاش للفائدة فالمخربين يتعاونون للتخريب Smile ونحن هنا يدا بيد للمساعدة بالحماية.
بارك الله فيكم جميعا من اولكم لاخركم

ربيع

20-04-13, 03:07 PM
نحمده ونصلي على رسوله الكريم

باستخدام الـ stored procedures و parameters، تستطيع تفادي ذلك إن شاء الله....

سعود

20-04-13, 03:55 PM
طيب اخي الكريم .. مارايك حول الكلمات الممنوعة هل يجدي نفعا ام لا.
مثلا نقوم بتعبئة ملف نصي بتلك الكلمات مثل dim,public,script الى اخره ثم نتفحص المكتوب بمربع النص هل يحتوي احدى هذه الكلمات..هل هذا يفيد ام لا؟
ايضا الاستغلال هل هو من خلال الرابط بحيث تضاف له قيمة سواء علامة تنصيص او غيرها ام من الادوات ؟
وهل هذهالثغرة لم تسد؟ هل يعقل انها موجودة حتى بـ sql server 2008 r2 ؟
كنت اظن ان الحماية منها تتطلب اجراءات وملفات ودوال كثيرة..
طيب سؤال آخر:
كيف الى معرفة كافة القيم الموجودة بالرابط اقصد QueryString جربت الكود التالي ولم يفلح
كود :
If Request.QueryString.ToString.Contains("'") Then            
Response.Write("<div align=center><h2>لقد كتبت قيمة ممنوعة بالرابط</h2></div>")
        End If


بارك الله فيكم جميعا.

سعود

20-04-13, 04:09 PM
لقد تذكرت موضوع
[h=1]{ معلومة} .. معلومات Request[/h]هل التحقق من المعلومات هذه مثل
Request.Url.PathAndQuery
ذو فائدة؟

سعود

20-04-13, 04:35 PM
كتبت بملف نصي
كود :
dimpublic
script
function
'
"
get
post
item
وبحدث تحميل الصفحة كتبت
كود :
Dim sf As String = ""        sf = My.Computer.FileSystem.ReadAllText(Server.MapPath("~/pat/tt.txt"))
        For Each st In Request.Url.PathAndQuery.ToString.Split("?")
            For Each t In sf
                If st.ToString.Contains(t) Then
                    Response.Write("<div align=center><h2>لقد كتبت قيمة ممنوعة بالرابط</h2></div>")
                End If
            Next
        Next
اريد ان يطبع رسالة الخطا مرة فكيف ذلك؟

سعود

20-04-13, 04:41 PM
عدلت قليلا
كود :
Dim sf As String = ""        sf = My.Computer.FileSystem.ReadAllText(Server.MapPath("~/pat/tt.txt"))
        For Each st In Request.Url.PathAndQuery.ToString.Split("?")
            For Each t In sf
                If st(1).ToString.Contains(t) Then
                    Response.Write("<div align=center><h2>لقد كتبت قيمة ممنوعة بالرابط</h2></div>")
                End If
            Next
        Next

سعود

20-04-13, 04:50 PM
بالنسبة لمربع النص
كود :
Protected Sub Button1_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles Button1.Click        
lbl.Visible = False
        lbl.Text = ""




        For Each st In TextBox1.Text
            For Each t In sf
                If st.ToString.Contains(t) Then
                    lbl.Text = "توجد قيمة منوعة"
                    lbl.ForeColor = Drawing.Color.Red
                    lbl.Visible = True
                End If
            Next
        Next




    End Sub
ارجو ابداء الاراء

ربيع

20-04-13, 05:16 PM
الثغرة ما زالت موجودة، وستبقى دائما، ولتفاديها نستخدم: الـ stored procedures أو parameters أو linq.

لو افترضنا ان تطبيقنا (تطبيق سطح مكتب أو تطبيق ويب)، به نموذج لتسجيل الدخول، وكان كود الاستعلام كـ:
كود :
[align=left]"select * from users where uname like '" & textbox.text & "' pass like '" & textbox2.text & "'"
[/align]

ثم أدخل المستخدم في مربع النص الأول كلمة: user، مثلا، ثم في مربع النص الثاني حقن هذه الجملة:
كود :
[align=left]123' or 'd' = 'd
[/align]

سوف تصبح جملة الاستعلام هكذا:
كود :
[align=left]"select * from users where username like 'user' pass like '123' or 'd' = 'd'"
[/align]

النتيجة:
كود :
[align=left]messagebox.show("تم تسجيل الدخول بنجاح")
[/align]

الاستعلامات المخزنة stored procedures، تتعامل مع وسيطات يتم استخدامها كنصوص وليس كأوامر sql....
جملة الاستعلام السابقة تصبح:
كود :
[align=left]create procedure login(@un nvarchar(), @pas nvarchar())
as
select * from users where uname = @un and pass = @pas
[/align]

الـ QueryString:
كود :
[align=left]For Each qs As String In Request.QueryString.AllKeys
    If Request.QueryString(qs).Contains("'") Then
        Response.Write("<div align=center><h2>لقد كتبت قيمة ممنوعة بالرابط</h2></div>")
        Exit For
    End If
Next qs
[/align]

سعود

20-04-13, 05:22 PM
بارك الله فيك وزادك قدرا وفضلا وعلما ينفعك دنيا واخرى.

سعود

20-04-13, 06:04 PM
طيب اخي كيف اعدل على التالي ليكون استعلام مخزن
كود :
Dim cm As New OleDbCommand("select un,ps from tb where un=@un and ps=@ps", con)        cm.Parameters.AddWithValue("@un", OleDbType.VarChar).Value = un.Text
        cm.Parameters.AddWithValue("@ps", OleDbType.VarChar).Value = ps.Text
الصفحات : 1 2
منتدى فيجوال بيسك لكل العرب | منتدى المبرمجين العرب > قسم برمجة وتطوير المواقع > قسم ASP.NET > قسم اسئلة ASP.NET > كيف احمي موقعي من الـ sql enjection