Antworten

WebWork Magazin - Webseiten erstellen lassen, Online Medien, html

Reparatur-Forum | Elektro forum | Ersatzteilshop Haushalt und Elektronik

Homepage und Webhosting-Forum

Scripte und Programme für PHP, MYSQL. Diskussionen zur Programmierung im Web. Fragen zu CMS, Blogsoftware, Shops, Newsletter und vielen weiteren Scripten.

Forum » PHP & MySQL » PHP SQL Aufruf und Sicherheitslücken » Antworten

Benutzername:
Passwort:	Passwort vergessen?
Inhalt der Nachricht:	Fett \| Kursiv \| Unterstrichen \| Link \| Bild \| Smiley \| Zitat \| Zentriert \| Quellcode\| Kleiner Text [quote][b]Austin Powers schrieb am 12.02.2004 23:28[/b] Ich habe ein ganz nettes Script geschrieben. Nun weiß ich das es unter bestimmten Bedingungen möglich, ist bei Variablen die über die URL für Datenbank abfragen übergeben werden, (vom Owner) ungewollte SQL-Aktionen auszulösen. z.B. Drop Database. Ich hatte auch mal eine Beschreibung dazu, weiß aber nicht wo die steckt. Meine SQL Kenntnisse sind anscheinend nicht genügent um diesen Vorgang zu reprodden. Um alle Klarheiten zu beseitigen nochmal was ich will: Owner will Datensatz 175 auslesen. URL: ...?artikel=175 $artikel wird mit $artikel=urldecode($GET[artikel]); behandelt, aber nicht weiter verifiziert. Angreifer vermutet dies und will die Datenbank löschen. vermutung: URL: ...?artikel=175';Drop database; .... Kann mir einer weiterhelfen ? (ich will nähmlich diese Lücke schließen, das geht aber nur wenn ich sie reprodden kann)[/quote]
Optionen:	Emailbenachrichtigung bei Antworten

Die letzten 5 Postings in diesem Thema » Alle anzeigen

von Philipp Gérard

1:	intval($_GET['var']);

von Rieke

http://www.scriptindex.de/manuals/mysql/manual.de_MySQL_Database_Administration.html#General_security

von Austin Powers

ergo: Das hilft mir nicht weiter.

Eigendlich wollte ich ja nur nen Tip, wer so etwas geschrieben haben könnte.

Den Rest finde ich dann schon. (Google 0 relevante / 98 Treffer)

P.S.: Sorry wg dem doppelpost, aber ich scheine mal wieder ne Tippschwäche zu haben,
im Einloggenmenue krieg ich PW nich zusammen.

von Austin Powers

Hilfe noch jemand der gleich denkt man will fremde DDBs hacken. Neee nur meine eigenen (ehe es jmd anders tut).

von inko

Zum Glück geht das nicht ganz so einfach, Du brauchst jedoch keineswegs zu wissen wie das geht, da in Deinem Beispiel folgendes völlig ausreichend ist:

1: 
2:

$artikel = urldecode($_GET['artikel']);
$artikel = preg_replace("/\D/", "", $artikel);


Nutzungsbedingungen \| Impressum \| Datenschutz \| RSS	Nach oben