PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Injection in Beispielscript


Domi
26.06.2008, 12:53:13
Hi,

ohne es jetzt probiert zu haben: Ich hab das Script gerade für einen anderen Post nur schnell überflogen und frage mich gerade, ob hier nicht ganz einfach eine SQL-Injection möglich wäre?

http://selfphp.de/kochbuch/kochbuch.php?code=21

Domi

Damir
27.06.2008, 02:38:59
Hallo Domi,

ja wäre schon möglich. Das Skript sollte eigentlich nur verdeutlichen, wie man Mehrfachabsendungen verhindert aber ich werde es mal ändern, das auch der Part vernünftig ist...

Damir

Domi
27.06.2008, 08:39:26
_ICH_ weiß das, aber ziemlich viel andere, Neulinge, denke sich wohl: "oha, das ist genau das was ich brauche, das übernehm ich 1:1". Danach ist das Geschrei groß wenn die Datenbank ausgelesen/geändert/gelöscht wurde..

Domi

cortex
27.06.2008, 11:14:11
Neulinge, denken sich wohl: "oha, das ist genau das was ich brauche, das übernehm ich 1:1"

das ist ein generelles problem, was man imho nicht (vernünftig) lösen kann. wenn du jedes bsp.skript auf etwaige sicherheitslöcher abklopfen willst... gute nacht.
davon abgesehen sollte sowas an zentraler stelle implementiert werden - es ist lediglich ein thema des übergreifenden sicherheitskonzeptes.

cx

Domi
27.06.2008, 11:29:47
Ich will dir garnicht sagen auf wie vielen Seiten ich in letzter Zeit die Möglichkeit von Injections gefunden habe. Außerdem bin ich noch in einem einschlägigen Forum unterwegs in welchem viele Leute sind, die keine legalen Absichten haben, um es mal so zu formulieren. Denn was man da alles mitbekommt ist krass. Da merkst du erstmal wie die Leute arbeiten und wie viele Seiten die posten, die Angreifbar sind.

Auf jeden Fall muss was dagegen getan werden.

Domi

ksticker
27.06.2008, 12:57:38
Dazu mal das Video

http://board.protecus.de/t24085.htm

Domi
27.06.2008, 13:37:53
interessant. Noch interessanter wären die Sources :)

Domi