-1
기본적으로 며칠 전에 내 웹 사이트 고객 중 한 명이 내게 와서 데이터베이스와 웹 사이트가 해킹 (해커가 데이터베이스에서 md5 해시 된 비밀번호를 훔쳐 갔다)하고 관리자 패널에 로그인했으며 데이터가 변경되었다고 말했습니다. 음, 그래, 나는 1 년 반 전에 그 페이지를 만들었으므로 나는 더 잘 모른다. hash 또는 소금. 어쨌든, 그들은 어떻게 데이터베이스를 해킹합니까? 기본적으로, 거기에 대한 보호가 있습니까? 또는 JavaScript 코드를 사용하고 있습니까?로드 할 수 없도록해야합니까?어떻게 해커가 웹 사이트를 해킹하고 있습니까?
이 질문에 대해 도움을 주실 수 있기를 바랍니다. 더 많은 보호 웹 사이트를 만들 수 있기를 바랍니다.
이것은 해당 사이트의 이전 로그인 코드입니다. 요청 당 추가됨 -
public function loginUser($username, $password) {
if(isset($_POST['login'])) {
if($username != '' && $password != '') {
$sql = "SELECT * FROM `users` WHERE `username` = '".$username."' AND `password` = '".$password."'";
$q = mysql_query($sql);
$row = mysql_fetch_array($q);
if(mysql_num_rows($q) > 0) {
if($row['level'] == 'admin') {
$_SESSION['user_level'] = 'admin';
}
else {
$_SESSION['user_level'] = 'normal';
}
$_SESSION['logged_in'] = 1;
header('location: account.php');
}
else {
header('location: error2.php');
// Return to page and show error
}
}
else {
header('location: error1.php');
// Show error, when people have empty fields entered
}
}
지금까지 제공된 정보에 대한 질문은 너무 광범위하기 때문에 구체적으로 대답 할 수 없습니다. – hakre
아마 SQL 인젝션을 통해. 코드 없이는 전혀 말할 수 없습니다. 또한 관리자 콘솔에 대한 로그인을 도난 당했을 수 있습니다. –
그래서 무작위로 사이트를 해킹하는 방법을 묻고 있습니까? 어떤 정보없이 문제가 무엇인지 알 수있는 사람은 누구입니까? 가능한 모든 해킹 목록이 여기에 무엇을 기대합니까? 그것은 어색한 것일 것입니다 :) – Nanne