Атақтарды алдын алу бойынша оқыту

SQL-инъекция түрлері: Классикалық (Classic SQLi): жауап ретінде нақты деректер қайтарылады. Blind SQLi: нәтиже көрінбейді, бірақ логикалық тесттер арқылы мәлімет алынады. Error-based: қате хабарламалар арқылы деректер шығады. Union-based: UNION SELECT арқылы басқа кестелерден ақпарат алу. Мысал: URL: bash Копировать Редактировать https://site.com/products.php?id=5 Инъекция: pgsql Копировать Редактировать https://site.com/products.php?id=5 UNION SELECT username, password FROM users Blind SQLi мысалы (TRUE/FALSE): sql Копировать Редактировать ' OR 1=1-- ' AND 1=2-- Кесте құрылымын анықтау әдістері: information_schema.tables information_schema.columns

SQL-инъекция (SQLi) – бұл шабуыл түрі, онда шабуылдаушы SQL сұрауларына өз кодын енгізіп, дерекқорды басқаруға тырысады. SQL тілінің негіздері (SELECT, INSERT, UPDATE, DELETE). SQL-инъекция қайда пайда болады? (login формалары, іздеу жолақтары, URL параметрлері). Қарапайым мысал: pgsql Копировать Редактировать SELECT * FROM users WHERE username = '$username' AND password = '$password'; Егер шабуылдаушы username орнына ' OR '1'='1 енгізсе — сұрау жалған логинмен де сәтті орындалады. Шабуылдың нәтижелері: деректердің ұрлануы дерекқордың бұзылуы әкімшілік панельге қол жеткізу OWASP тізіміндегі SQLi орны.