সবাই ভালো আছেন আশা করি, আপনাদের জন্য
এখন একটা চরম খবর আছে, আমি ব্লগে এখন থেকে ধারাবাহিক ভাবে হ্যাকিং এর লেখা
দিবো (এটা চরম খবর না), চরম খবর হলো আপনারা এবার থেকে আমার সাথে লাইভ
ক্লাসও করতে পারবেন । না এটা এখনই চালু করবো না কিছুদিন পর থেকে শুরু
করবো । এ ব্যাপারে আমাদের ফ্যানপেজ এ পোস্ট দেওয়া হবে ।
যাই হোক, শুরু করা যাক, তবে যারা বেসিক টিউটোরিয়াল গুলো দেখেন নাই তাদের বলবো আমার বেসিক টিউটোরিয়াল গুলো দেখার জন্য।
SQLI কি ?
SQL হলো Structured Query Language, এটা একটা বিশেষ প্রোগ্রামীং ভাষা যা
ব্যবহার করে relational database management system (RDBMS) এর ডেটা
সমূহকে সম্পাদনা করা হয় । আমি জটিলতায় যাচ্ছি না কারন অনেক নতুন রা এটা
পড়বেন সহজ ভাষায় এটা database এ access করে ডেটা সম্পাদনা করতে সাহায্য করে
।
ডেটাবেজ (Database) কি ?
ডেটাবেজ হলো একটা ফাইল যেখানে ওয়েব সাইটের বিভিন্ন তথ্য সমূহ সাজানো থাকে
। যেমন: লাইব্রেরী তো সবাই দেখেছেন । লাইব্রেরী সব বই র্যাকে/তাকে
সাজানো থাকে ঠিক তেমননি টাবেজে সব তথ্য স্তরে স্তরে সাজানো থাকে ।
SQL কি কাজে লাগে ?
- SQL can execute queries against a database
- SQL can retrieve data from a database
- SQL can insert records in a database
- SQL can update records in a database
- SQL can delete records from a database
- SQL can create new databases
- SQL can create new tables in a database
- SQL can create stored procedures in a database
- SQL can create views in a database
- SQL can set permissions on tables, procedures, and views
(source:w3school)
এবার তাহলে SQLI জিনিস টা কি ?
আমি অলস মানুষ তাই নিচের উইকিপিডিয়ার লেখাটা দিলাম
SQL injection is a
code injection technique, used to
attack
data-driven applications, in which malicious SQL statements are
inserted into an entry field for execution (e.g. to dump the database
contents to the attacker).SQL injection must exploit a
security vulnerability in an application's software, for example, when user input is either incorrectly filtered for
string literal escape characters embedded in
SQL statements or user input is not
strongly typed and unexpectedly executed. SQL injection is mostly known as an attack
vector for websites but can be used to attack any type of SQL database.
অনেক সহজ ভাবে এখানে SQLi এর সম্পর্কে বলা হয়েছে । আরো সহজ ভাষায় বলছি এটা
একটা পদ্ধতি যা ব্যবহার করে আমরা ডেটাবেজে কোনো পাসওয়ার্ড ছাড়াই access
নিতে পারবো এবং sensitive তথ্য বের করতে পারবো ।
SQLI কেনো লাগবে?
আগেই বলেছি আমরা এটা দিয়ে sensitive তথ্য বের করতে পারবো সুতরাং সাইটের
এডমিন ইউজার নেম এবং পাসওয়ার্ড বের করতে এটা কাজে লাগবে অনেক ।
এবার আসুন ডেটাবেজে সাইটের তথ্য কিভাবে থাকে তা দেখিঃ
এখানে DBase 1 হলো ডেটাবেজ নেম, টেবিল এর নাম হলো table1 এবং স্টুডেন্ট ।
আপনাদের পূবেই বলেছি ডেটাবেজ বই এর লাইব্রেরী এর মত এখানে টেবিল হলো এক
একটা বুক সেলফ এবং কলাম হলো তাক । আর লাইব্রেরী থেকে কোনো বই খুঁজে পেতে
বইয়ের সেলফ এবং তাক দুটাই জানা লাগবে ।
ডেটাবেজ থেকে তথ্য বের করা :
আপনি যদি table1 থেকে column1 এবং column2 এর ডেটা বের করতে চান তবে quary হবে,
select column1,column2 from table1
রেজাল্ট পাবেন:
একই ভাবে যদি students থেকে এর প্রথম কলামের ডেটা বের করতে চান তবে কোড হবে,
Select * from students where id=1
রেজাল্ট হবে,
এবার আপনি যদি কোনো নিদিষ্ট কলাম বের করতে চান তবে
Select * from students where f_name='camaline'
এখানে,
এখানে লাল কালার হলো টেবিল নেম, সবুজ কালার হলো কলাম নেম এবং ব্লু কালার হলো ডেটানেম, এর মানে হচ্ছে আমরা
students table এর যে f_name কলামের যেখানে camaline নাম টি বা ডেটাটি আছে তার ইনফো দেখতে
চাই তো রেজাল্ট হবে
যাইহোক এ সবই SQL এর বেসিক ছিলো SQLI করার সময় এগুলো জানা থাকলে অনেক কাজে লাগবে ।
শুধু তাই না এসব জিনিস SQLI দ্রুত শিখতে সাহয্য করবে ।
যাই হোক, পরবর্তী টিউটোরিয়ালে আমরা দেখবো কিভাবে একটা সাইট SQLI করে হ্যাক করা যায় তা ।
তবে আপাতত আপনারা SQL নিয়ে গবেষনা করুন ।
এই সাইটে SQL এর টিউটোরিয়াল পাবেন : http://www.w3schools.com/sql/
ধন্যবাদ -
কেনো প্রশ্ন থাকলে সাইটে করবেন অন্য কোথাও করলে উত্তর নাও পেতে পারেন কারন ব্যস্ততার জন্য
হয়তোবা চোখে পড়বে না ঐ সব প্রশ্ন ।
ধন্যবাদ -
সংগৃতঃ http://www.greenweb.com.bd
এবার আপনি যদি কোনো নিদিষ্ট কলাম বের করতে চান তবে
