ABAKUS

Ihr Partner in Sachen SEO und Online Marketing
https://archiv.abakus-internet-marketing.de/foren/

Vor SQL Injektionen schützen

https://archiv.abakus-internet-marketing.de/foren/viewtopic.php?f=36&t=12552

Seite 1 von 1

Vor SQL Injektionen schützen

Verfasst: 19.03.2005, 12:46
von jaap
Hallo,

ich denke mal mein SCript ist nicht vor SQL Injektionen sicher 8)

Wie kann ich zb selber feststellen an Hand von SQL Injektionen Code ob mein Script sicher ist?

Es gibt SQL Injektionen worauf man auf die SQL zugreifen kann und es gibt SQL Injektionen die in einer Endlosschleife dauernd SQL Anfragen ausführen bzw Verbingungen herstellen im schlimmsten Fall bis der Server platt ist ....

Wie lauten diese Code mit den man SQL Injektionen erstellen kann damit ich das mal ausprobieren kann ob mein Script dagegen sicher ist?

Dieses passiert zb über Texteingaben im Script....

Die Texteingaben sind so programmiert:

<td class="normal">&nbsp; <input type="text" name="Beisspiel" size="15" value="<? echo $Beisspiel ?>" style="font-family: Tahoma, Arial, Geneva, Helvetica; font-size: 7.5pt; color:#000080; border-style: solid;border-width: 1; width: 146px; text-align: left" align="texttop"></td>

Soweit ich sehe ist diese Texteingabe nicht vor SQL Injektionen geschützt wie kann ich diesen Code ändern so das er vor SQL Injektionen geschützt ist?

Würde mich sehr freuen über Antwort... :D

Verfasst:
von
SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
  • persönliche Betreuung
  • individuelle Beratung
  • kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Verfasst: 19.03.2005, 14:04
von netzwerkler
Wie sollen wir das einschätzen ohne das Script zu sehen?

Hast Du

https://security-papers.globint.com.ar/ ... oracle.php
https://www.unixwiz.net/techtips/sql-injection.html

gelesen? Poste doch einfach Dein Script.

Gruß
Mirko

Vor SQL Injektionen schützen

Verfasst: 19.03.2005, 15:38
von larsneo
wenn $beispiel ungeprüft aus dem GPC übernommen wird, hast du auf alle fälle schon einmal ein potentielles cross-site-scripting :roll:
in der quality assurance bei postnuke nutzen wir u.a. folgenden teststring (der zumindestens eine ganze reihe von schwachstellen aufzeigen kann):

Code: Alles auswählen

'';!--"<h1>PostNuke_QA</h1>=&&#123;&#40;&#41;&#125;

Verfasst: 19.03.2005, 16:47
von Eistee
Interessanter Teststring, ein paar Sachen sehe ich, was wird damit alles getestet?

Re: Vor SQL Injektionen schützen

Verfasst: 19.03.2005, 20:38
von robo
jaap hat geschrieben:Die Texteingaben sind so programmiert:

<td class="normal">&nbsp; <input type="text" name="Beisspiel" size="15" value="<? echo $Beisspiel ?>" style="font-family: Tahoma, Arial, Geneva, Helvetica; font-size: 7.5pt; color:#000080; border-style: solid;border-width: 1; width: 146px; text-align: left" align="texttop"></td>

Soweit ich sehe ist diese Texteingabe nicht vor SQL Injektionen geschützt wie kann ich diesen Code ändern so das er vor SQL Injektionen geschützt ist?
Das hat nichts mit SQL-Injection zu tun, aber ich sehe hier einen anderen Fehler. Statt value="<? echo $Beisspiel ?>" solltest du value="<? echo htmlentities($Beisspiel) ?>" schreiben.

Um dein Script vor SQL-Injections zu schützen, solltest du alle Variablen, die du in eine SQL-Anweisung übernimmst, mit addslashes behandeln oder aber magic_quotes_gpc in der php.ini einschalten. Alternativ kannst du auch diese Routine verwenden:

Code: Alles auswählen

function my_addslashes &#40;$s&#41; &#123;
  if &#40;get_magic_quotes_gpc &#40;&#41; == 1&#41; &#123;
    return $s;
  &#125;
  else &#123;
    return addslashes &#40;$s&#41;;
  &#125;
&#125;
cu, Robo :)
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de