Fråga : MySql injektionhacka

Hi har beställarewebbplatsen för
A hackats upprepade gånger över det sist få behovet för months.
I att vara kompetent att sanitise kodifiera för att förhindra mer ytterligare hackor. Kan någon berätta mig vilket,

Thanks

The varar värd (vara värd dimen), överförde dem detta e-postmeddelande: kontot för
Your är sårbart till den MySQL injektionen. Angriparen var kompetent att injicera hackat en sida in i din databas som visad:
####################
mysql> väljer pageid, titeln, shorttexten, maintext från tbpages var titelnågot liknande ”PichOfTheLast%” för
mysql>;
+--------+---------------------------+-----------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| pageid | titel | shorttext | maintext |
+--------+---------------------------+-----------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 44 | PichOfTheLast var här.! | |
< P-align=left> < En href=" rel= " nofollow " för _blank”” för target=” för http://xat.com/ JustLeaveMeAlone" > < IMG
style=" BREDD: 520px; HÖJD: 360px" alt=" height=280; " src=" hspace=0; rel= " nofollow "” för _blank” för r1k.gif&quot för http://i42.tinyp ic.com/5mx; width=411 border=0> < /A> < /P> < CENTER> < Rel= " nofollow "” för _blank” för EMBED
src=####################
inpage.php för http://www.rainbowestatesp ain.com/ma? id=040%20union%20select%20all%20null, concat%28username, char%2858%29, password%29 som är ogiltig, null som är ogiltig, null som är ogiltig, null som är ogiltig, null som är ogiltig, null%20%20%20from%20users%20order%20by%202--; angriparen för
####################

The kunde därefter logga in till din administratör som section.

We rekommenderar dig som är säker kodifiera på denna sida och, ändrar adminen password.

Here är kodifiera för mainpage.php
hp”)? >

$id = $_GET [”ID”];
$pageid = $id;
för
$sql = ”VÄLJER * FRÅN tbpages VAR pageid=$id”;
$result = mysql_query ($sql);
$numrows = mysql_num_rows ($result);
för
om ($numrows-== 0) {eka ”felet”; }
för
$row = mysql_fetch_array ;

? för id=" subpagetext " för >

om ($row [”belongsto”]! == ”0”) {
$trace [0] för
= $row [”pageid”];
$trace [1] = $row [”belongsto”];
$names [0] = $row [”titel”];
$i = 1; stunder för
för
(($trace [$i]! && för == 0) ($i < 10)) {
för
$sql = ”VALD belongsto, titel FRÅN tbpages VAR pageid=”. $trace [$i];
$result = mysql_query ($sql);
$row2 = mysql_fetch_array ;

                  $i++;
$trace [$i] för
= (int) ($row2 [”belongsto”]);
$names [$i-1] = $row2 [”titel”];
för
för
för

} för ($j = $i; $j->= 0; $j--) {
för
om ($j > 0) {
ekar ””;
för
} ekar $names [$j];
ekar ””;
, om (($j > 0) && ($j < $i)) {eka”/”; }
för
för
för
} $sql = ”VÄLJER titeln, pageid FRÅN tbpages VAR pageid=”. $row [”belongsto”];
$result = mysql_query ($sql);
$row2 = mysql_fetch_array ;

för
} annars {

ekar $row [”titel”];
för
för
}? >

//CONTENT LIST

$sql = ”VÄLJER * FRÅN tbpages VAR belongsto=$id BESTÄLLER VID itemorder”;
$result = mysql_query ($sql);
$numrows = mysql_num_rows ($result);
$i = 0;
, om ($numrows > 0) {eka ”tillfredsställer:
”; } stunder för
($row2 = mysql_fetch_array ) {
för
, om (([”linksto”] == $row2 0) && ([”linkstourl”] "" för == $row2)) {

$pageid = $row2 [”pageid”];
om ($row2 [”pageid”] < 100) {$pageid = ”0”. $row2 [”pageid”]; }
om ($row2 [”pageid”] < 10) {$pageid = ”00”. $row2 [”pageid”]; }

ekar ” för
} ($row2 [”linkstourl”]! =="") {

ekar ” för
} annars {
för
$pageid = $row2 [”linksto”];
om ($row2 [”linksto”] < 100) {$pageid = ”0”. $row2 [”linksto”]; }
om ($row2 [”linksto”] < 10) {$pageid = ”00”. $row2 [”linksto”]; }
ekar ” för
för
för
} ekar” \ "";
om ($row2 [”linkstonewpage”]) {eka” target= \ ”_blank \ ""; }
ekar ”>”. $row2 [”titel”]. ””;

            $i++;
ekar ”
”;
för
för
} om ($numrows > 0) {eka ”
”; }

//PAGE CONTENT
ekar html_entity_decode (str_replace (” LOCAL ”, $glb_uploadspath, $row [”maintext”]));

//MAIN NÖJDA LINKS
$sql = ”VÄLJER * FRÅN tbpages VAR belongsto=$id BESTÄLLER VID itemorder”;
$result = mysql_query ($sql);
$numrows = mysql_num_rows ($result);

$i = 0;
om ($numrows > 0) {eka ”

”; }
fördriver ($row2 = mysql_fetch_array ) {
för
, om (([”linksto”] == $row2 0) && ([”linkstourl”] "" för == $row2)) {

$pageid = $row2 [”pageid”];
om ($row2 [”pageid”] < 100) {$pageid = ”0”. $row2 [”pageid”]; }
om ($row2 [”pageid”] < 10) {$pageid = ”00”. $row2 [”pageid”]; }

ekar ” för
} ($row2 [”linkstourl”]! =="") {

ekar ” för
} annars {
för
$pageid = $row2 [”linksto”];
om ($row2 [”linksto”] < 100) {$pageid = ”0”. $row2 [”linksto”]; }
om ($row2 [”linksto”] < 10) {$pageid = ”00”. $row2 [”linksto”]; }
ekar ” för
för
för
} ekar” \ "";
om ($row2 [”linkstonewpage”]) {eka” target= \ ”_blank \ ""; }
ekar ”>”. $row2 [”titel”]. ””;

            $i++;
ekar ”
”;
ekar $row2 [”shorttext”];
om ($row2 [”shorttext”]! =="") {eka ”
”; }
ekar ”
”;
för
för
}? >

hp”); ? > " klar "

Svar : MySql injektionhacka

Hi Scott

Vilken antivirusprogramvara är du som använder? Dessa tecken orsakas ibland av den proactive scanningen av databasen som den är rörelsehindrad.

Se till http://support.microsoft.com/kb/827615 för allmän information. Du skulle behov att konsultera produktdokumentation för specifika anvisningar, beroende av din AV-produkt.

Andra lösningar

Hur många skrivar av sidor r där i SQL-server?

Missa över mellan GLÅMIGA anslutningar för aktiv/för aktiv på en Cisco Router

ASP.Net tappar skuggar verkställer

Vad är ämna av ”den MAKEFILE” makroen i en makefile?

Ett rengöringsdukundantag uppstod därför att en HTTP 401 - det obehöriga svaret mottogs från okända

Funktionen måste använda en Updateable Query

PHP passerar parametrar till den on-line aktiveringssidan

Ethernetövergångskabel förbinder

döda ett processaa vid styrka, hur kan jag