php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > SQL / Datenbanken
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


SQL / Datenbanken Probleme mit SQL? Hier könnt ihr eure Fragen zu SQL (MySQL, PostgreSQL, MS-SQL und andere ANSI-SQL Server) los werden.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 20-10-2006, 12:30
nobody2
 Junior Member
Links : Onlinestatus : nobody2 ist offline
Registriert seit: Aug 2006
Beiträge: 94
nobody2 ist zur Zeit noch ein unbeschriebenes Blatt
Standard SQL injection

Hallo!
Ich habe mich jetzt einmal über die sql-injections informiert. Ich bin draufgekommen, dass mein login-bereich total unsicher ist.

meine sql abfrage lautet:
"SELECT * FROM users
WHERE username = '".$user."'
AND pw = PASSWORD( '".$pw."' )";

Wie könnte da eien eventuelle sql-injection aussehen?
Ich habe an sowas gedacht, allerdings funktioniert das nicht.

als user wird admin eingegeben und als pw x') or 1=1 limit 1 --
Mit Zitat antworten
  #2 (permalink)  
Alt 20-10-2006, 12:48
Abraxax
  THE REAL HAXE (Administrator)
Links : Onlinestatus : Abraxax ist offline
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
Abraxax befindet sich auf einem aufstrebenden Ast
Standard

mysql_real_escape_string ist schon einmal hilfreich ...
__________________
INFO: Erst suchen, dann posten! | MANUAL(s): PHP | MySQL | HTML/JS/CSS | NICE: GNOME Do | TESTS: Gästebuch | IM: Jabber.org |


Mit Zitat antworten
  #3 (permalink)  
Alt 20-10-2006, 17:47
skrejci
 Newbie
Links : Onlinestatus : skrejci ist offline
Registriert seit: Jul 2006
Ort: Wien
Beiträge: 27
skrejci ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hai,

einfache Injection-Eingabe bei deinem Beispiel:
Peter' /*
Damit wird deine Abfrage zu

SELECT * FROM users WHERE username = 'Peter' /*' AND pw = PASSWORD( '".$pw."' )


Alles ab /* wird von MySQL als Kommentar interpretiert und nicht ausgewertet. Dann brauchst du das Passwort nicht mal.
Gefährlich ist auch der Wert NULL bzw. das hexadezimale Äquivalent \x00.

Ich wende auf alle Usereingaben schon prinzipiell mal ein htmlentities($usereingabe, ENT_QUOTES) an. Damit ist zumindest mal die halbe Miete gewonnen. strip_tags ist auch nicht schlecht (Allerdings weniger gegen SQL-Injection als mehr gegen XSS und CRFS).

Vorsicht auch auf bewusst produzierte Fehlermeldungen. Mit deren Hilfe lässt sich oft die gesamte Struktur einer Tabelle rausfinden.

LGs Stefan
__________________
Man strahlt hier nicht in Wien - denn bald strahlt es aus Temmelin :-|
Mit Zitat antworten
  #4 (permalink)  
Alt 21-10-2006, 14:16
Kisi
 Member
Links : Onlinestatus : Kisi ist offline
Registriert seit: Apr 2006
Beiträge: 163
Kisi ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo!
Die Sql - Injection funktionieren aber nicht, wenn ich magic_quotes_gpc auf 1, also on hab, oder?

Geändert von Kisi (21-10-2006 um 19:21 Uhr)
Mit Zitat antworten
  #5 (permalink)  
Alt 21-10-2006, 19:11
Abraxax
  THE REAL HAXE (Administrator)
Links : Onlinestatus : Abraxax ist offline
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
Abraxax befindet sich auf einem aufstrebenden Ast
Standard

richtig. genauso ist "magic_quotes_gpc auf 1" dafür verantwortlich, dass deine waschmaschine das korrekte programm ausführt ....
__________________
INFO: Erst suchen, dann posten! | MANUAL(s): PHP | MySQL | HTML/JS/CSS | NICE: GNOME Do | TESTS: Gästebuch | IM: Jabber.org |


Mit Zitat antworten
  #6 (permalink)  
Alt 22-10-2006, 18:45
Slava
 PHP Senior
Links : Onlinestatus : Slava ist offline
Registriert seit: Nov 2002
Ort: Köln->Karlsruhe
Beiträge: 1.589
Slava befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von Kisi
Hallo!
Die Sql - Injection funktionieren aber nicht, wenn ich magic_quotes_gpc auf 1, also on hab, oder?
nicht ganz.
x00 und x1a was für mysql wichtig ist, wird durch magic_quotes nicht mit slashes versehen.
__________________
Slava
bituniverse.com
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 01:13 Uhr.