SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

Das Zend Framework

Das Zend Framework zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > MySQLi/PDO/(MySQL)

MySQLi/PDO/(MySQL) Anfänger, Fortgeschrittene oder Experten können hier Fragen und Probleme rund um MySQLi/PDO/(MySQL) diskutieren

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 30.01.2023, 16:58:49
gutu gutu ist offline
Anfänger
 
Registriert seit: Jan 2009
Alter: 73
Beiträge: 11
sql injection

Hallo Expert*innen
ich lese in meiner index.php eine Tabelle sprueche mit folgendem Code:
PHP-Code:
$rec mt_rand(1,$anzahlSpr);
$sql "select * from sprueche_".$sprache." where id=?";
$_SESSION["sql"]=$sql.$rec;
$stmt=$pdo->prepare($sql);
$stmt->execute(array($rec)); 
Dabei kommt es zu keiner Eingabe eines users. Ich sende mir alle aufgetretenen Fehler per mail und erhalte seit einigen Tagen Unmengen von Fehlern mit Misstaltungen des SQL Befehls. Wie z.B.
select * from sprueche_en/A=0 where id=?

Ich bin 72 Jahre alt und habe einige Erfahrungen mit anderen Sprachen. Da muss wohl jemand auf meinen Server zugreifen können, denn der Code ist ja für einen Client nicht sichtbar. Das ganze ist mir unheimlich und macht mir Sorgen.
Was kann da passieren und wie kann ich das verhindern?
Besten Dank für Rat.
Grüße aus Salzburg
Mit Zitat antworten
  #2  
Alt 31.01.2023, 08:42:41
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.707
AW: sql injection

Guten Morgen Uwe,

wo kommt die Variable $sprache her?

Ansonsten gilt das gleiche wie hier schon mal geschrieben.

PS: Benutze nie "SELECT *"! Schreibe immer die Feldnamen rein, die Du wirklich (nur) benötigst.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #3  
Alt 31.01.2023, 15:42:43
gutu gutu ist offline
Anfänger
 
Registriert seit: Jan 2009
Alter: 73
Beiträge: 11
AW: sql injection

Danke für die rasche Antwort. Die Variable $sprache kommt aus einer Session und wird durch den click auf eine Fahne ausgelöst.
Werde die Ratschläge berücksichtigen
Mit Zitat antworten
  #4  
Alt 31.01.2023, 15:59:32
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.707
AW: sql injection

Zitat:
Zitat von gutu Beitrag anzeigen
Die Variable $sprache kommt aus einer Session und wird durch den click auf eine Fahne ausgelöst.
Und dieser Click wird mit $_GET an Dein Script übergeben? Oder wie übernimmst Du den Wert des Clicks?

Vermutlich mittels http://www.example.com/index.php?sprache=en.
Dies machen sich die bösen Buben zu Nutze und starten ihre Angriffe.
Prüfe - wie bereits geschrieben - die Werte auf Gültigkeit in $_GET bevor Du sie in $_SESSION übernimmst.

Schaue Dir in diesem Zusammenhang auch die Funktion htmlspecialchars an
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
Antwort

Stichworte
hackerangriff, sql injection


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Hilfe beim erstellen eines SQL Befehls get-away-events PHP Grundlagen 1 07.04.2015 12:21:30
Brauche Hilfe Partygirl MySQLi/PDO/(MySQL) 10 01.03.2011 09:18:11
Text-Feld: 2 und mehr Werte ersetzen im SQL BenjaminG MySQLi/PDO/(MySQL) 1 13.02.2011 12:59:54
SQL Datei ausführen newwarrior PHP Grundlagen 4 09.11.2010 13:10:57
SQL Abfrage mit PHP Variablen die leer sind WHERE plz = ? Loki555 MySQLi/PDO/(MySQL) 8 28.04.2009 15:18:33


Alle Zeitangaben in WEZ +2. Es ist jetzt 13:59:12 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


© 2001-2024 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt