Sql injection attack မိတ္ဆက္

View previous topic View next topic Go down

Sql injection attack မိတ္ဆက္

Post  emolay on Mon Jun 13, 2011 4:26 am

ကၽြန္ေတာ္ ဒီအေၾကာင္းအရာကို ေရးခ်င္ေနတာၾကာပါၿပီ ... အခ်ိန္မအားလပ္တာေၾကာင့္ေရးမယ္ေရးမယ္နဲ့ ေရးတဲ့ဆီမေရာက္ၿဖစ္ေနတာရယ္ ... ဘယ္ဖိုရမ္မွာေရးရမလဲဆိုၿပီးစဥ္းစားေနတာရယ္ေၾကာင့္ မေရးၿဖစ္ခဲ့ပါဘူး။ အခုေတာ့ ကၽြန္ေတာ့ မိတ္ေဆြၾကီး ကိုခန့္ ရွိေနတဲ့ ဒီဖိုရမ္မွာပဲ ပထမဆံုး စတင္ေရးလိုက္ပါၿပီ ။ topic ေနရာ မွားယြင္းေနတယ္ဆိုရင္ၿဖင့္ တာဝန္ရွိသူေတြက ေနရာမွန္ကို ေၿပာင္းေရႊ့ေပးပါေတာ့ ။

Sql injection attack ဆိုတာ လက္ရွိ web ေလာကကို အႏၱရယ္ အေပးဆံုး code injection attack တမ်ိဳးပါ ။ xss attack ၿပီးရင္ လူသံုးအမ်ားဆံုးလို ့ ကၽြန္ေတာ္ထင္ပါတယ္ ။ ဒီအေၾကာင္းေရးရတဲ့ ရည္ရြယ္ခ်က္ကေတာ့ သူတပါးအက်ိဳးမဲ့ေစရန္မဟုတ္ပဲ မိမိၾကံဳေတြ ့လာရင္ ကာကြယ္နိုင္ေအာင္ပဲၿဖစ္ပါတယ္ ။ ၿမန္မာအခ်င္းခ်င္းၿပန္ရိုက္မယ့္ တုတ္မ်ိဳးေတာ့ ၿဖစ္မွာ ကၽြန္ေတာ္ေၾကာက္ပါတယ္။ ဒီေတာ့ နည္းပညာတရပ္အေနနဲ့တာ ေလ့လာေစခ်င္တဲ့ ဆႏၵနဲ ့ မွ်ေဝလိုက္ပါတယ္ခင္ဗ်ား.............။

ွsql injection ကို သံုးဖို ့ တၿခားဘာ tool မွ ေထြေထြထူးထူးမလိုပါဘူး ။ browser တခုရွိေနရင္ပဲ ရပါၿပီ ။ sql injection attack ကို စတင္ေလ့လာေတာ့မယ္ဆိုရင္ sql database နဲ ့ query ေတြအေၾကာင္းကို မသိလို ့မၿဖစ္ပါဘူး ။ဒါေၾကာင့္ ဒီ အေၾကာင္းက အရင္ စတင္ပါ့မယ္ ။

website တခုကို စတင္ တည္ေဆာက္ေတာ့မယ္ဆိုရင္ database ဆိုတာက အေရးၾကီးတဲ့ အစိတ္အပိုင္းတခုပါပဲ ။ ဘာလို ့ဆိုေတာ့ website ရဲ ့ data ေတြ ၊ user ေတြ ၊ post ေတြ စတဲ့ အေရးၾကီးအခ်က္အလက္ေတြကို စုစည္းထားတဲ့ေနရာၿဖစ္လို့ပါ။ ေနာက္အပိုင္းက်မွေသခ်ာရွင္းလင္းၿပပါ့မယ္ ။ database တခုမွာ table တခုကေန မ်ားစြာ အထိပါဝင္နိုင္ပါတယ္ ။ table တခုစီမွာ သက္ဆိုင္ရာ coloum ေတြရွိၿပီး coloum တခုစီရဲ့ေအာက္မွာdata ေတြပါဝင္တဲ့ row ( တခ်ိဳ့က record လို ့ေခၚပါတယ္) ေတြရွိပါတယ္ ။ ဒီေလာက္ပဲ မွတ္ထားပါအံုး ။

ကဲ...sql အေၾကာင္း စလိုက္ၾကရေအာင္ ။ sql ဆိုတာ sever scripting language တခု ပါ ။ database တခုကို query ေတြ သံုးၿပီး table ေတြကို ဖ်က္မယ္၊ ၿပင္မယ္၊ထပ္တိုးမယ္။ data ေတြကို ဖ်က္မယ္၊ၿပင္မယ္၊ထပ္တိုးမယ္။ စတာေတြကို sql query ေတြသံုးၿပီး ၿပဳၿပင္ေၿပာင္းလဲတဲ့ language တခုပါ ။ ဥပမာ ... vulnerability ရွိေနတဲ့ ဆိုဒ္တခုကို injection ထိုးလို ့ ေပါက္ၿပီဆိုရင္ site admin ရဲ့ acc ေတြကိုဖ်က္မယ္ ၿပင္မယ္ username နဲ ့ password ေတြကိုၿပင္မယ္၊ အစားထိုးမယ္ ။ ဒါေတြကို လုပ္ေဆာင္ၾကရပါမယ္ ။ အဲလိုလုပ္ေဆာင္ဖို ့ဆိုရင္ အခုေၿပာမယ့္ sql query ေတြကိုနားလည္ထားရပါမယ္ ။တကယ္လို ့ မိမိ site ကို hack ခံထိၿပီဆိုပါေတာ့၊ database ကို ဝင္လို ့ရေသးရင္ ဒီ query ေတြသံုးၿပီး ၿပန္ယူနိုင္ပါတယ္။ေနာက္ဆံုး မိမိဆိုဒ္ကို injection ၿပန္ထိုးၿပီး ၿပန္ယူနိုင္ပါတယ္ ။ ဒီေတာ့ ဒီေနရာကစၿပီး ေသခ်ာနားလည္ေအာင္ ေလ့လာရမွာၿဖစ္ပါတယ္ ။

SQL select statement ကေန စၾကရေအာင္ ... ေအာက္က query ေလးကိုၾကည့္ပါ ။

select coloum_name
from table_name

ဒါက column ေတြကိုၿပသေအာင္လုပ္တဲ့ query ပါ ။ column_name ေနရာမွာ column ရဲ ့ အမည္ကို ထည့္ရမွာၿဖစ္ၿပီး column အားလံုးကိုေခၚၾကည့္မယ္ဆိုရင္ * (ခေရပြင့္ သေကၤတ) ေလးကိုထည့္ေပးပါ ။ဒီေကာင္က အားလံုးကိုမွတ္ပါဆိုတဲ့ အဓိပၸါယ္ပါ ။ table_name ေနရာမွာ table ရဲ ့အမည္ကို ေရးရမွာပါ။

ကၽြန္ေတာ္တို ့ database က table တခုရဲ ့ အမည္က smf_1users ဆိုပါစို ့ဗ်ာ ။ smf_1users ဆိုတဲ့ table ရဲ့ ေကာ္လံေတြနဲ့ data ေတြကို ေခၚၾကည့္ခ်င္တယ္ဆိုရင္.............

select *
from smf_1users

ဒါဆိုရင္ smf_1users ဆိုတဲ့ table ရဲ ့ ေကာ္လံ အားလံုးနဲ့ row အားလံုး က်လာပါလိမ့္မယ္ ။လက္ေတြ့လုပ္ေဆာင္ၾကည့္ခ်င္တယ္ဆိုရင္ မိမိ database ရဲ ့ php my admin ကိုသြားပါ ။ အဲဒီမွာ query ဆိုတဲ့ tab ကို နွိပ္ၿပီး command ေတြကို ေရးၿပီး ေလ့က်င့္နိုင္ပါတယ္ ။ database မရွိတဲ့သူမ်ားကေတာ့ w3school.com မွာေလ့က်င့္ဖို ့ေနရာေပးထားပါတယ္။ အေသးစိတ္လဲေရးသားထားပါတယ္ ။web သမားတိုင္း w3school ဆိုရင္သိၾကမွာပါ ။ beginner မ်ားကေတာ့ www.w3school.com လို ့ ရိုက္ၿပီး ေလ့လာနိုင္ပါတယ္ ။

(ဆက္လက္ေရးသားပါ့မယ္ ။ အလုပ္တဖက္နဲ့ဆိုေတာ့ စာေတြအမ်ားၾကီးေရးခ်င္ေပမယ့္ မေရးနိုင္တာကိုနားလည္ေပးပါခင္ဗ်ား )

emolay

Posts : 114
Join date : 2011-06-12
Age : 22

View user profile

Back to top Go down

View previous topic View next topic Back to top

- Similar topics

 
Permissions in this forum:
You cannot reply to topics in this forum