PHP & MYSQL 注入与安全 如何防止mysql 注入漏洞

引发SQL注入攻击的最主要原因
没有对数据类型进行检查过滤和转义

MySQL SELECT 注入

http://www.xxtime.com/show.php?id=2345
show.php文件内容

<?php
$id = $_GET&#91;'id'&#93;;
$sql = 'SELECT * FROM table WHERE id = $id';
$db-&gt;query($sql);
// …
// … do something
?>;

url后面加个英文引号
http://www.xxtime.com/show.php?id=2345′
$sql = ‘SELECT * FROM table WHERE id = 2345”;
报错。。。。
说明过滤不严,可能存在注入漏洞。。。。?

把提交的网址修改为:
http://www.xxtime.com/show.php?id=2345%20or%201=1
访问后
$id = ‘2345 or 1=1’
$sql = ‘SELECT * FROM table WHERE id = 2345 or 1=1’;
这句sql则会列出所有表中数据

MySQL UPDATE注入

<?php
// …
$sql = "UPDATE users SET password='$pass', email='$email'
WHERE id='$id'";
$db->query($sql);
// …
// … do something
?>

我们在添email的地方我们添入 work@xxtime.com’,usergroup=’1
sql语句执行的就是:

UPDATE users SET
password='MyPasword', email='work@xxtime.com',usergroup='1' WHERE id='MyID'

假如usergroup=1 代表管理员权限 那此时我们就获得了管理员权限

MySQL INSERT注入

<?php
// …
$query = "INSERT INTO members VALUES('$id','$login','$pass','$email','2')";
//其中2代表普通用户,如果为1 则是管理员
$db->query($sql);
// …
// … do something
?>

还是在要我们输入email的地方输入:  work@xxtime.com’,’1′)#
sql语句执行时变成了:

INSERT INTO membres
VALUES ('MyID','MyName','MyPassword',' work@xxtime.com','1')# ','2')"

其中#代表注释,#后面的sql不会执行,只会执行

INSERT INTO membres VALUES ('MyID','MyName','MyPassword',' work@xxtime.com','1')

那么我们就获得了管理员权限

总结:
作为一个程序员,一个网络工程师,做研发的同志们, 一定要谨记,一定要严格过滤用户端输入,这也是作为一个优秀的php工程师必须要拥有的素质

网易的电子邮件可能是最新的黑客攻击的受害者

从天涯,CDSN,和中国其他Web服务继续的数以百万计的用户的用户名和密码公布在一片哗然,有更大的服务商,可能有某种被攻击的迹象:网易。

网易是运营在中国的最流行 ​​的免费电子邮件服务之一,网易提供的服务据说受到攻击。来自TechWeb消息,今天下午较早时候的报道,网易的电子邮件服务器已被攻击并且发布到了一个公开黑客论坛上,无数用户的账户已经被攻破。

不同于其他的黑客,我们已经看到在过去的一周,这实际上是旧的用户名和密码资料库,公众倾卸场,网易利用似乎是一个正在进行的攻击。具体来说,用户报告,突然他们的帐户绑在网站的“找回密码”节到了一个陌生的QQ帐户。这意味着,在本质上,谁就拥有这些QQ帐户的权力,恢复其他用户的密码,甚至改变密码导致原来的用户不能访问他们自己的帐户。至少有一个网易用户也报告了,他们无法改变的QQ号码,联系网易的客户服务团队后,他们告知,只需注册一个新帐户。

网易还没有正式回应,所以现在这些报告,他们应该采取一措施。不过,如果不出意外,报告可以看出,黑客和信息安全,在中国媒体的最新证据下突然成为一个大的话题。

天涯密码下载 天涯4000万用户数据遭泄漏!密码再次爆出下载(迅雷,ed2k)

天涯4000万漏洞下载
距离 csdn 多玩 人人网数据泄漏时间 还不足三天 国内大型社区 天涯社区 再爆数据泄漏 泄,遭泄漏数据居然高达4000万 可谓此次泄漏案件中最为严重的一次泄漏了!!通过这一事件 再次为国内网站安全问题敲响警钟!
天涯4000万用户资料下载截图
天涯社区4000万用户资料泄露 账号密码邮箱明文保存,经验证为有效数据,从一些途径得知目前已经扩散,请广大用户和企业做好应急响应处理
天涯数据.kz 下载 迅雷下载 电驴下载 BT 下载 电骡下载
tysjj.kz 下载
天涯用户资料截图
这些是什么呢??我就不说鸟啊!!! 如果想要下面的数据 请 在博客 右上角输入您的email地址 订阅我们 就可以获得了!!如果您不会 那就没办法了!!
天涯4000万用户数据遭泄漏之后的解释
一、天涯社区用户数据库是明文保存密码吗?

2009年11月之前是明文,2009年11月之后是加密的,但部分明文密码未清理,2011年5月12日清理掉了所有明文密码。所以从2011年5月12日开始全部都是安全的,5月12日之前的有可能不安全。

二、我的天涯社区帐号是安全的吗?需要修改密码吗?

1、2011年5月12日之前的注册用户和没有修改过密码的用户,请立即修改密码;

2、2011年5月12日以后注册的用户,帐号,密码和邮箱都非常安全;

三、天涯社区用户帐号数据库现在是安全的吗?

历史遗留的安全隐患从2011年5月12日起已经全部解决,我们进行了多方面的安全加固,密码加密强度也很高。

四、天涯社区老的帐号数据库是怎么泄露的?

目前泄露出来的天涯社区明文帐号数据是2010年9月之前的数据,因此可以判断出来的泄露时间是在2010年9月之前,泄露原因正在调查中。

五、如果我的天涯社区帐号已经被盗怎么办?

1、使用取回密码功能,通过注册邮箱、认证手机或申诉的方式取回密码。

2、拨打我们的7*24小时客服电话0898-68582666,由客服人员进行验证之后取回密码。

六、我们将采取什么措施弥补此次问题?

1、我们将针对2011年5月之前的注册用户,提示修改密码,并提示用户把其他网站相同的密码也尽快修改。

2、我们将针对所有弱密码用户进行提示,要求用户修改密码,并提示用户把其他网站相同的密码也尽快修改。

3、我们将对2011年5月之前所有注册用户群发Email提示用户修改密码,并提示用户把其他网站相同的密码也尽快修改。

4、针对有社区管理权限的用户及V用户,具体操作措施将另做具体通知。
如何打开天涯4000万用户数据
这次被黑的数据库,有近4千万用户资料,光用户,密码,邮箱就占用 1.71 GB,并且密码仍然为名为保存,经媒体朋友验证,所有泄露数据均有效。
天涯数据.kz下载 天涯 4000w 爆库门再升级:天涯社区4000万用户资料泄露 密码全部明文存储!
天涯数据.kz是一个国产的压缩软件快压的专用格式。用快压就能打开天涯数据.kz
天涯4000万下载地址:
ed2k://|file|天涯数据.kz|395410339|14813820b58aff56df8149233cf2a7a5|/
ed2k://|file|weibo.com_12160.rar|51941071|71e65982f639329f595cb925659acf8a|/

CSDN泄漏数据完整分析,中国用户密码习惯分析,邮箱后缀分析

感谢mayee的投递
昨天CSDN的用户数据库被人在网上公布。我下载分析了下里面的数据,得出了一些很有意思的现象。泄漏出来的数据只有三列:用户名、密码和邮箱。先来看看密码:

1.最常用的前50个密码

数量           密码

235037    123456789
212761    12345678
76349    11111111
46054    dearbook
34953    00000000
20010    123123123
17794    1234567890
15033    88888888
6995    111111111
5966    147258369
5890    aaaaaaaa
5555    987654321
5145    1111111111
5026    66666666
4686    a123456789
4096    11223344
3968    1qaz2wsx
3650    password
3649    xiazhili
3610    789456123
3505    qwertyuiop
3491    qqqqqqqq
3297    iloveyou
3287    qq123456
3282    87654321
3175    000000000
3100    asdfghjkl
3063    31415926
2985    12344321
2943    1q2w3e4r
2886    0000000000
2770    QAZWSXEDC
2752    123456abc
2613    abcd1234
2578    0123456789
2573    123654789
2540    12121212
2437    asdasdasd
2380    12341234
2348    110110110
2338    abc123456
2298    aa123456
2245    a12345678
2243    22222222
2219    a1234567
2218    1234qwer
2178    123456
2166    123321123
2165    qwertyui
2113    123456123

看看里面有没有你常用的?

2.密码类型

我按 全部是数字;全部是字母;字母和数字;含特殊符号 为密码归了下类:

纯数字密码:2894567  (1)

纯字母密码:795778    (2)

字母和数字:2506714  (3)

含特殊符号:231572    (4)

另外还有一条数据密码是空

密码越复杂就越安全,但是采用字母数字加特殊符号高强度密码的只有231572,约占总共6428632个用户的 三十分之一

3.密码长度

数量         长度

2337895    8
1550730    9
929948    10
627736    11
368567    12
167302    13
154473    14
84292    6
74882    15
49085    16
33951    5
18952    7
7448    4
6981    17
5852    18
5014    20
2278    19
1350    2
1336    3
559    1
1    0

程序员的安全意识还是比较强的,密码普遍长度在8-14位。但是奈何不了明文存储,也奈何不了数据库泄漏哇

4.有多少程序员用手机号做密码

大约有189307个密码是以手机号形式存在的,按照号码前三位分类:

号码前三位 数量     

139    21171
138    20996
135    20248
136    18444
137    15876
159    14347
158    12455
134    11076
130    11004
131    9441
150    8074
151    6737
133    6068
132    5880
152    3356
189    1102
155    1082
187    544
153    528
156    422
186    238
147    77
157    45
188    43
145    24
180    18
185    9
1349    2

看来程序员们还是最钟爱中国移动啊

5.有多少程序员用纪念日做密码

大约有437296个密码是以日期形式存在的,按数量排序如下

时间     数量

1987    43307
1986    38670
1988    37917
1985    33117
1984    32219
1989    30284
1983    28630
1982    28432
1981    18052
1990    14514
1980    12691
1979    10528
1978    9251
1991    6391
1977    6343
1976    5186
1975    4083
2008    3923
1974    3523
1992    3260
2006    3158
2005    2978
2004    2909
2002    2815
1973    2815
2009    2691
2003    2539
1972    2504
1993    2373
2007    2290

如果认为密码就是该用户的生日,那么可以看出一些有意思的事情:80后是程序员的主力,85后已经崛起。

以200X为年份的,有可能是有了宝宝的程序员,以宝宝的生日为密码。

6.程序员们都用什么邮箱

下面是排名前30的邮箱提供商:

邮箱后缀    数量

qq.com    1976001
163.com    1766935
126.com    807818
sina.com    351750
yahoo.com.cn    205486
hotmail.com    202965
gmail.com    186809
sohu.com    104756
yahoo.cn    87040
tom.com    72353
yeah.net    53312
21cn.com    50795
vip.qq.com    35115
139.com    29201
263.net    24830
sina.com.cn    19169
live.cn    18918
sina.cn    18599
yahoo.com    18454
foxmail.com    16430
163.net    15279
msn.com    14217
eyou.com    13387
yahoo.com.tw    10809
huiseo.cn    8492
csoftmail.cn    7121
citiz.net    6617
vip.sina.com    5379
189.cn    5004
etang.com    4261

网易邮箱 依旧是国内邮箱的老大,QQ正在快马追上。

CSDN-中文IT社区-600万.rar(迅雷,ed2k)下载,CSDN,600w用户数据库资料泄露

以下内容为原文转载,如侵犯相关人信息请联系,即刻删除

CSDN,600w用户资料泄露:

CSDN-中文IT社区-600万.rar 内包含600万CSDN注册用户资料,整个压缩包大小104.85M,应该不是完整的,黑客只是故意放出一部分而已。这个CSDN-中文IT社区-600万.rar 用户资料,是2009年泄露的,目前泄露原因不明,经过下载后测试,里面的确记录了大量CSDN用户的邮箱和密码,并且都是明文的,而且到现在有1/10的账号仍能正常登陆。因此如果你是CSDN的注册用户,为了维护你的权益,请立即修改密码,以确保你的隐私以及资金安全。
虽然这个600万CSDN的用户资料已经泄露,很可能官方在第一时间已经发现,但估计是CSDN方面和黑客交涉未成,或者抱有侥幸心里才造成了今天的资料公开泄露。
CSDN申明:
对于 CSDN 用户账号密码数据库被泄露一事,经过初步分析,该库系 2009 年 CSDN 作为备份所用,由于未查明原因被泄露,特向所有因此而受到影响的用户致以深深歉意。目前 CSDN 已向公安机关报案,公安机关也正在调查相关线索。CSDN 现有 2000 万注册用户的账号密码数据库已经全部采取了密文保护和备份。
CSDN-中文IT社区-600万.rar:
ed2k://|file|CSDN-中文IT社区-600万.rar|109942505|A29D9468556CF73AFB48A3A8427629DC|/

CSDN-中文IT社区-600万.rar(迅雷,ed2k)备用地址:
放置600W用户数据下载被和谐,大家需要的可以留下邮箱,24小时内发过去!

CSDN怎么下载
大家可以通过第一个下载进行下载,如果被和谐了,您可以留下邮箱,我们24小时给您发过去!
CSDN-中文IT社区-600万.rar(迅雷,ed2k)下载之后该做什么:
有网友爆料称,今天有黑客在网上公开了知名网站CSDN的用户数据库。我们部分同事确实也在泄漏的库里发现了自己的帐号。看来,是修改密码的时候了:

原文出自 http://www.22duguancha.com/csdn-it-600%E4%B8%87-rar-xunlei-csdn600w.htm