لغة الاستعلام البنيوية ـ 1

السلام عليكم ورحمة الله وبركاته

درس اليوم وبعون الله شرح لغه الاستعلام البنيوية , او بلانجليزيه : SQL INJECTION

دائما الاسماء عندما تكون بلاجنبي يتم حفضها بسرعه


===============================

حقن قواعد الاستعلام البنيوية هي احدى الطرق لاكتشاف اي ثغره امنيه قد تتواجد بقواعد البيانات التابع لاي برنامج .
مثال : سكربت جوملا : Joomla
برنامج يحتوي على قواعد بيانات , وبذالك بلامكان حقن قواعد البيانات , < كان ذالك فقط مثال .

نكمل


تتكون هذة الثغره عندما لايتم تصفيه مدخلات المستخدم من الرموز الخاصة التي يتم ادراجها داخل جمل بصيغه لغة الاستعلام البنيويه , والتي تؤدي الى التلاعب بقواعد البيانات ( لغه الاستعلام البنيوية ) .



سوف اشرح لكم مثال لهذه الثغره الخطيره , والتي يضن البعض بان مثل هذه الثغرات لاتتواجد بشكل كبير , بل يضعو انضارهم على ثغرات اخرى ..

[
CODE]SELECT * FROM users WHERE name = ' + TRAIDNT + ';[/CODE]

هذه الجملة : TRAIDNT , سوف تستدعي جميع السجلات الخاصه باسم TRAIDNT من سجل user .: او : اعضاء .

ولكن عندما يتم تغيير اسم المستخدم وهو كان TRAIDNT بشكل خاص ومعين , وخاصا باستخدام الدالة التاليه : فابمكان الهكر ان يغير المتغير : TRADINT الى متغير اخر . مثال . :

رمز Code:

a' or 't'='t

فسينتج لدينا :
اذا استطاع المخترق ان يستخدم هاذا المتغير او الجملة المذكوره اعلاه , فبالمكان استعمالها للحصول على تصريح , ( تصريح المدير العام مثلا ! )

لان الدالة هي دائما لها صلاحيات TRUE على مااعتقد [COLOR="red"]؟ [/
COLOR]



اعذروني , مو كلش جيد بلبرمجه





عملت بجهدي , فارجو من الاعضاء وزوار معهد ترايدنت , وخصوصا المبرمجين العرب ان ياخذو هاذا الموضوع على محمل الجد ! لان لغة الاستعلام البنيوية خطره جدااا !.

الكاتب / عراقي هكر .. 08



في أمان الله