Ir para conteúdo
AnthonyKamers

Site "exploited"/"hacked" pelo SQL PHP

Recommended Posts

Olá

Fiz um site e ao pôr online, depois de duas semanas ele foi "hackeado"/"exploited".

 

Uso MySQLI para me conectar pelo banco de dados e descobri que é só quando eu uso 

"SELECT * FROM"

e eu uso a variável, que o exploit se "instala".

 

Como no seguinte código:

$sql4 = mysqli_query($con, "SELECT * FROM ... WHERE ... != '1' ORDER BY RAND() LIMIT 1") or die(mysqli_error($con));
$ln4 = mysqli_fetch_assoc($sql4);
$teste = $ln4['teste'];

 

Quando eu coloco "echo" na variável $teste, o exploit "começa".

 

Mas se eu não me conectar com o banco de dados, o exploit não funciona.

 

Há como evitar isso?

Não uso prepared statement, se eu usá-lo, não poderá mais ser hackeado?

 

Como posso eviar isso?

 

Conto com a ajuda de todos.

 

Desde já agradeço

Compartilhar este post


Link para o post
Compartilhar em outros sites

Você tento usar uma fuction SQL FILTER

 

 

function SqlFilter($str)
{
    if (!is_numeric($str)) {
        $str = get_magic_quotes_gpc() ? stripslashes($str) : $str;
        $str = function_exists('mysql_real_escape_string') ? mysqli_real_escape_string($str) : mysqli_escape_string($str);
    }
    return trim($str);
}

 

METHOD POST você chama SQL FILTER para escape string

 

exemplo:

 

 

<?php 

$nome = $_POST["nome"];

// você usa 

$nome = SqlFilter($_POST["nome"]);

// ou tenta 

$nome = addslashes($_POST["nome"]);

?>

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eu nem estou dando POST para pegar os resultados, pois estou quero listar todos os resultados do DB.

 

Dessa forma, eu não preciso usar.

 

Mas o problema é quando eu uso mysql ou mysqli, aí entra a tela de exploit:

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Usei o seguinte código com prepared statement:

<?php
	$idDif="1";
$options = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
    PDO::ATTR_EMULATE_PREPARES   => false,
];
$link = new PDO("mysql:host=$host;dbname=$db", "$user", "$pass", $options);
$stmt = $link->prepare("SELECT * from `teste` WHERE idTeste!=?");
$stmt->execute([$idDif]);
$result = $stmt->fetchAll();

foreach ($result as $row):
?>

<h2 style="text-align:center;margin:0 auto">
    <?=$row["nomeTeste"]?>
</h2>
<br/>
<div>
    <p>
        <?=$row["valorTeste"]?>
    </p>
    <hr style="color:black;width:10%"/>
</div>

<?php endforeach;?>

e mesmo assim, o exploit continua.

 

Não sei como fizeram para inserir dados no servidor e quando eu acesso meu banco de dados ele bloqueia.

 

 

Como posso resolver?

Compartilhar este post


Link para o post
Compartilhar em outros sites

pode ser que seja suspeita de invasão ou de site malicioso ou pode ser seu ip que tá bloqueado, tem um site que controla isso e se for esse o caso tu pode solicitar desbloqueio clicando num link que aparece na tela nesses caso mas tem que ter certeza se é isso porque se tiver um link malicioso ferra mais ainda

Compartilhar este post


Link para o post
Compartilhar em outros sites

Não foi hackeado. Se está exibindo apenas quando você retorna no banco de dados, apenas está no seu banco de dados.

O nome disso é XSS, você precisa retirar os códigos antes de salvar algo no banco de dados.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

  • Conteúdo Similar

    • Por violin101
      Caros amigos
       
      Gostaria de tirar uma dúvida com os amigos.
       
      No Codeiginter tem como visualizar um arquivo .PDF dentro do sistema ?
       
      Por exemplo:
             o usuário realizou um download do arquivo --> DadosEmpresa.pdf
       
      Quando clicar em cima do arquivo, tem como visualizar em uma página o arquivo ?   E como faria ?
       
      Grato,
       
      Cesar
    • Por Ivana_Silva
      Olá a todos que estão lendo!
       
      Preciso de uma função PHP que filtre 2 padrões de campos a partir do caractere barra(|), preservando a linha.
       
      Em uma caixa de texto vou colar valores assim:
      0001|qwerty
      0002|091234
      0003|09164867
      0004|ab12312
      ...
      A caixa de texto:
      <form id="form" name="form" method="post" action=""> <textarea name="lista" type="text" id="lista" cols="48" rows="5" size="600" /></textarea> <br /> <br /> <button type="submit">Separar</button> </form> <?php ?> Quando eu clicar no botão Separar, preciso que o código filtre e mostre apenas as linhas que, após barra " | " possuam números inteiros de 6 e 8 dígitos(sem letras, símbolos ou pontos).
       
      Exemplo:
      Dados colados na caixa de texto:
      0001|qwerty
      0002|091234
      0003|09164867
      0004|ab12312
       
      Dados filtrados após clicar no botão Separar:
      0002|091234
      0003|09164867
       
      Filtrou apenas os campos que após a barra "|" possuem 6 e 8 dígitos(Nem mais nem menos), não é pra filtrar campos com letras ou números e letras, se tiver letra após a barra já descarta... É pra Filtrar e mostrar apenas as linhas que possuem 6 e 8 dígitos após a barra.
      Agradecida se alguém puder ajudar!
       
    • Por RSN
      Boa Noite, 
      Gostaria de saber se existe a possibilidade de gravar além do id do option value outra variavel, para enviar via post.
      <div class="form-group"> <label class="col-md-4 control-label" for="txtgrupo">Tipo de Pagamento : </label> <div class="col-md-4"> <select id="" class="selectpicker" data-live-search="true" name="tipo_pagamento" > <?php $query = mysql_query("SELECT * FROM tipo_pagamento ORDER BY id ASC"); while($result = mysql_fetch_array($query)) { echo '<option value="'.$result["id"].'">'.$result["nome_tipo"].'</option>'; } ?> </select> </div> </div>  
    • Por JeanTDZ
      Eu tenho um form com algumas informações etc. O form envia pro banco de dados e tudo mais, funcional.
       
      Alguém teria algum exemplo que após o submit, o form é transformado em pdf/doc e direcionado para uma pasta/ftp já criada.?
    • Por jparenque
      Pessoal, estou precisando de um código em php que faça o seguinte:

      1- acesse uma url capture e grave o código fonte
      2- acesse novamente a mesma url, capture o código fonte e compare com o código da primeira captura
      3- se o código for igual ao da primeira captura ele acessa novamente e compara novamente
      4- se o código for diferente do da primeira captura ele tem que abrir o navegador Chrome e ir para essa url através do navegador.
      5- o fim do código deverá ser apenas quando ele acessar a url encontrar um conteúdo diferente do da primeira captura.

      Vou rodar o php na máquina local. O objetivo é monitorar uma página url específica com relação à uma alteração que ocorrerá. E quando ocorrer precisarei atuar nessa página imediatamente.

      Obrigado a todos!
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.