MySQL DB Infiltration?!!

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • MySQL DB Infiltration?!!

    Hallo erstmal, ich bin neu hier und hoffe Ihr könnt mir helfen! Also zu meinem Problem:

    1) Über ein html-Formular werden Daten eingegeben.
    2) Mit einer JS-Funktion wird geprüft ob alle Felder gefüllt sind

    wenn ja.... speichern in DB wenn nicht ein alert mit blabla bitte alle Pflichtfelder ausfüllen.

    soweit alles ok....

    Das Formular kann nicht abgeschickt werden so lang bis alle Felder ausgefüllt sind.

    Dennoch kommt es vor das täglich Datensätze in der DB landen, wo keine Felder ausgefüllt sind.

    Einen Skriptfehler kann ich aber ausschließen! Bin schon am verzweifeln und kann keinen Verursacher finden... evtl ein Bot der es iwie schafft über das Formular SQL-Befehle abzuschicken?

    Ich hoffe Ihr könnt mir weiterhelfen Danke schonmal!

  • #2
    Das Formular kann nicht abgeschickt werden so lang bis alle Felder ausgefüllt sind.
    Glaubst du! Deaktiviere JS mal und probiers aus...
    Einen Skriptfehler kann ich aber ausschließen!
    Würde ich nicht behaupten, weil das Eintragen von deinem PHP Script erledigt wird. Und wenn dieses Script leere Einträge zulässt, dann hast du sehr wohl ein Scriptproblem

    Gruss

    tobi
    Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

    [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
    Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

    Kommentar


    • #3
      Danke für die schnelle Antwort ! Hab JS im Browser deaktiviert und ausprobiert ! .....es wird NICHTS eingetragen, also daran kanns nicht liegen.

      Hab den Fall aber eh abgesichert.... das formular enthält keinen submit button, das "submitten" erfolgt per JS-Funktion also mit klick auf den button wird ne JS funktion (onclick) aufgerufen und diese funktion schickt das Formular ab.


      ~edit~

      hab den Fehler gefunden ! Danke nochmal....
      Zuletzt geändert von onkelgigal; 22.02.2008, 12:53.

      Kommentar


      • #4
        Ich habe nicht behauptet, dass etwas eingetragen würde. Ich meinte damit, dass das Form sehr wohl nicht-komplett abgeschickt werden kann, wenn du dich auf eine JS Prüfung verlässt.
        Jetzt muss das Problem also in der verarbeitenden PHP Datei gesucht werden und dazu bräuchten wir hier etwas Code. Also +-10 Zeilen wo du den Eintrag in die DB vornimmst.
        Noch eine Frage: Die Datenbank ist nur für localhost zugänglich, oder?
        Hast du SQL-Injections ausgeschlossen ? z.B. durch das Verwenden von mysql_real_escape_string() für jede Usereingabe, die in der DB landen soll?
        Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

        [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
        Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

        Kommentar


        • #5
          Hab den Fall aber eh abgesichert.... das formular enthält keinen submit button, das "submitten" erfolgt per JS-Funktion also mit klick auf den button wird ne JS funktion (onclick) aufgerufen und diese funktion schickt das Formular ab.
          Und was hindert mich daran das Form einfach via POST Request abzusetzen resp könnte ich das Form ja nachbauen... Damit hast du gar nichts abgesichert!
          Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

          [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
          Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

          Kommentar


          • #6
            Original geschrieben von jahlives
            Und was hindert mich daran das Form einfach via POST Request abzusetzen resp könnte ich das Form ja nachbauen... Damit hast du gar nichts abgesichert!
            Ich hab da nur was weiterentwickelt und hab mich drauf verlassen das in der datei die Datebankänderungen vornimmt sowiso nochmal eine Prüfung der übergebenen POST Variablen stattfindet! Hab mal bisschen gesucht und nix gefunden dann war der Fehler natürlich klar auf der Hand^^!

            Natürlich kann man sich nicht alleine auf ne JS-Prüfung verlassen ! Aber läuft jetzt eh ! Dankeschön das du dir Zeit genommen hast !

            Kommentar

            Lädt...
            X