ورود ثبت نام
دوره های مخصوص اعضای ویژه مخصوص اعضای ویژه
روز پدر 1403

sql injection در entityframework

لینک کوتاه https://toplearn.com/q/DnB

  • 1397/03/17

sql injection در entityframework :

سلام استاد خوبید؟ من یه جایی کار میکنم. طرف میگفت توی کوئری استرینگ نباید پارامتر زیاد باشه . میگفت روش sql injection میشه انجام داد.طرف میگفت خودم انجام دادم دیدم اره میشه ! در صورتی که من یه جا شنیدم که شما گفتید خیالمون راحت باشه که انتیتی فریموورک خیلی مطمئن و امن هستش . حالا این فرد چی میگه که میشه تزریق sql انجام داد ؟ طرف میگفت از این به بعد هر درخواست رو به صورت پست بفرست !!! البته طرف وب فرم کار کرده . ام وی سی کار نیست

reza250

رضا ابوالحسن زاده

AdminUser ایمان مدائنی
  • 1397/03/17
  • ساعت 09:04

سلام 

با استفاده از Entity اینکار امکان پدیر نیست 

شما خودتون دیدید بانک رو هک کنه ؟ 

چنین چیزی امکان پذیر نیست دوست من 

اگر تونست با استفاده از Entity دستورات sql را تزریق کنه و اطلاعات بانک رو بدست بیاره باور کنید 


reza250 رضا ابوالحسن زاده
  • 1397/03/17
  • ساعت 15:40

نه مهندس من ندیدم ولی تعجب کردم . خیلی با قاطعیت گفت خودم تست کردم و جواب داد.گفت دیگه پارامتر هارو به صورت پست بفرست !!!
هیچی توی کوئری استرینگ نفرس


AdminUser ایمان مدائنی
  • 1397/03/17
  • ساعت 17:12

ثبت اطلاعات به روش Post کار درستی است ولی ربطی به هک بانک نداره دوست من 

 


shahrokhnazari shahrokhnazari
  • 1397/03/17
  • ساعت 19:47

متاسفانه بعضی ها میان از نرم افزار موبایل درخواستشون ار طرف اپ موبایل هم به صورت کوئری استرینگ مییفرستن به سرور ....یک کار اشتباه

تو برخی ار اپ های موبایل این مشکل هست////چون خیلی ها بدون دانش برنامه نویسی عمقی و تجربه برنامه نوبسی وارد دینای برنامه نویسی موبایل شدن و این مشکلات هست

مثلا براحتی لینک ثبت نام کاربراشون میشه بیرون کشید...حالا شما تصور کنید که این لینک بزاریم تو یک حلقه و به دفعات دلخواه به جداولشون دیتا اضافه کنیم

دوستانی که میخوان برنامه نویسی موبایل انجام بدن لطفا یه این موارد خیلی دقت کنن

با احترام


logo-samandehi