Register for your free account! | Forgot your password?

Go Back   elitepvpers > Coders Den > General Coding > Coding Tutorials
You last visited: Today at 11:19

  • Please register to post and access all features, it's quick, easy and FREE!

Advertisement



config.php > real_escape (schützen) - SQL Injection

Discussion on config.php > real_escape (schützen) - SQL Injection within the Coding Tutorials forum part of the General Coding category.

Reply
 
Old   #1
 
elite*gold: 0
Join Date: Jun 2010
Posts: 1,567
Received Thanks: 974
config.php > real_escape (schützen) - SQL Injection

yo, da ja die meisten bob server gepwnd werden & die "ultra1227hax0rz" ja immer sql injection's machen & meißt die daten aus den configs kriegen, könnt ihr euch so ein bissl besser "schützen"

Achtung: es ist nur ein teil, ihr müsst noch etwas hinzufügen was ich aber nich "publishen" werde.

PHP Code:
<?php
// Verbindung herstellen & datenangeben
$link mysql_connect('mysqlhost''mysqluser''mysqlpassword')
    OR die(
mysql_error());

// Anfrage erstellen
$query sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            
mysql_real_escape_string($user),
            
mysql_real_escape_string($password));
?>
das ganze könnt ihr auch machen in eurem itemshop, da die meisten SQL injections dort stattfinden.

die meisten injection's finden mit simplen "befehlen" like this statt:

PHP Code:
<?php
// Datenbankabfrage zur Ueberpruefung der Logindaten
$query "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($query);

// Wir haben $_POST['password'] nicht geprueft, es koennte also alles darin
// stehen, was der User will. Zum Beispiel:
$_POST['username'] = 'aiiR7bob';
$_POST['password'] = "' OR ''='";

// Das bedeutet, der an MySQL gesendete Query wuerde sein:
echo $query;
?>
ich poste es NICHT, damit ihr andere server pwn könnt, sonder das is eher 'ne "prüfung" ob ihr alle zusammen arbeitet & 'n sicheres user&admin panel zusammenstellt.


// - die befehle müssen natürlich auch richtig eingesetzt werden (injection) - ist nur ne simple methode, also schützt euch durch realescape strings.
αίίR7 :3 is offline  
Thanks
7 Users
Old 07/30/2010, 10:02   #2
 
elite*gold: 0
Join Date: Jan 2009
Posts: 6,399
Received Thanks: 2,398
Schön gemacht, digg0r!
dontoX is offline  
Old 07/30/2010, 10:51   #3
 
elite*gold: 0
Join Date: Jul 2010
Posts: 1,001
Received Thanks: 579
omg, gut!
aber wie kann man die configs denn ankucken?
also als außenstehender..?!
PangerLenis is offline  
Old 07/30/2010, 10:53   #4
 
elite*gold: 0
Join Date: Jun 2010
Posts: 1,567
Received Thanks: 974
Quote:
Originally Posted by PangerLenis View Post
omg, gut!
aber wie kann man die configs denn ankucken?
also als außenstehender..?!
naja, theoritisch geht's eig nicht - es gibt aber dank dem achsotollen SQL Injection immermöglichkeiten gewisse sachen aus der DB auszulesen, wenn man glück hat & an den richtigen usernamen der config kommt kann man die daten auch auslesen, sicherheitshalber kack da würde ich lieber noch 'ne .htaccess in den ordner legen, wo die config liegt - dann ist der schutz "optimal"
αίίR7 :3 is offline  
Old 07/30/2010, 10:57   #5
 
elite*gold: 0
Join Date: Oct 2009
Posts: 995
Received Thanks: 336
quellen wären gut ^^

2good4you111 is offline  
Thanks
1 User
Old 07/30/2010, 11:03   #6
 
-Tuni's Avatar
 
elite*gold: 20
Join Date: Jun 2010
Posts: 2,237
Received Thanks: 956
Quote:
Originally Posted by 2good4you111 View Post
quellen wären gut ^^

und ?
Hauptsache er macht es für alle Pub da interesiert es keinen von wo des kommt.
-Tuni is offline  
Old 07/30/2010, 11:09   #7
 
elite*gold: 0
Join Date: Jun 2010
Posts: 1,567
Received Thanks: 974
Quote:
Originally Posted by 2good4you111 View Post
quellen wären gut ^^

yo, aber doof, dass ich's nich daher hab, is zwar genau gleich, hab's aber woandersher.
außerdem sind meine ganzen sachen anderst, & das iher is nur 'n teil davon & solange es schützt juckt keinen die quelle, oder? ;O
αίίR7 :3 is offline  
Old 07/30/2010, 11:09   #8
 
elite*gold: 0
Join Date: Jan 2008
Posts: 3,026
Received Thanks: 4,504
"Quellen wären gut"
Sachmal junge hagelst du? Warum sollte er quellen hinschreiben, von Dingen, die er selber geschrieben hat?
Was mysql_real_escape_string(); bzw addslashes(); ist/sind, müsse eigtl jeder wissen, welcher auch nurn ganz ganz ganz ganz ganz kleines Hirn hat.
Daunenjacke is offline  
Thanks
3 Users
Old 07/30/2010, 11:17   #9
 
elite*gold: 0
Join Date: Jun 2010
Posts: 1,567
Received Thanks: 974
Quote:
Originally Posted by 2good4you111 View Post
quellen wären gut ^^

btw - das 1. is von mir & is nur die hälfte von meinem script - das untere ist von 'ner anderen quelle & nich von mir weil ich so bob sql injection nich use.
αίίR7 :3 is offline  
Thanks
1 User
Old 07/30/2010, 12:44   #10

 
IgorGlock's Avatar
 
elite*gold: 1862
Join Date: Jan 2009
Posts: 3,725
Received Thanks: 7,671
PHP ist eine öffentlich Sprache die keine Steuern hat und alle Codes die public sind dürfen nicht dann i-wie patentiert werden da man PHP nicht kaufen kann. Daher schön dasd du es pub. machst aber am besten ist das wenn man einfach diese config.php einfach mal anderen nennt.
IgorGlock is offline  
Thanks
1 User
Old 07/30/2010, 12:49   #11
 
elite*gold: 0
Join Date: Jun 2010
Posts: 1,567
Received Thanks: 974
Quote:
Originally Posted by IgorGlock View Post
PHP ist eine öffentlich Sprache die keine Steuern hat und alle Codes die public sind dürfen nicht dann i-wie patentiert werden da man PHP nicht kaufen kann. Daher schön dasd du es pub. machst aber am besten ist das wenn man einfach diese config.php einfach mal anderen nennt.
1. kd - 2. bringt's nix weil man das verzeichnis einsehen kann mit gewissen befehlen, solange 'ne .htaccess im verzecihnis ist sollte es schicken, sofern die config auch die real_escape-strings hat.
αίίR7 :3 is offline  
Reply


Similar Threads Similar Threads
VB Code schützen?
09/11/2010 - .NET Languages - 2 Replies
Hi Leute, habe ne Frage, kann man iwi den Code schützen bei Visual Basic 2010? Hier genauere Beschreibung dazu was ich meine: Mit dem Red Gate´s .NET Reflector kann man in den Code so rein schauen, und dabei sieht die Person auch meine Email und Passwort, da dort die Daten hingeschickt werden, kann man das irgentwie schützen? http://img52.imageshack.us/img52/1286/unbenanntma k.png
[HowTO] Vor Hacker schützen :)
08/19/2010 - Metin2 PServer Guides & Strategies - 19 Replies
Hallo, das ist mein erster Tut deswegen bitte nicht so hart sein :D Ja ich hab gelesen das viele Hacker unterwegs sind :) Deswegen wollte ich euch ein Tipp geben wir ihr besseren schutz hab :) Ihr geht auf Navicat - verbindet euch mit eurer DB
[B]Gegen SQL Injection schützen
07/29/2010 - Coding Tutorials - 6 Replies
Hey Leute, Ich hab hier mal was nettes für euch. Ich hab viele Metin2 Hp´s gesehen die sehr SQLI Infitierbar sind. Und Geb euch hier mal einen Kleinen Quell Code der euch dafor schützen kann. Es ist kein Tut nur ein Code die wo sich ein wenig aus kennen wissen wohhin damit :P <? # Funktion macht Befehle zur Eingabe in SQL-Strings sicher vor Injection, da durch die Eingabe gegebene ' gequoted werden
CP vor Hacker schützen?
12/25/2005 - Technical Support - 4 Replies
Hi, unser server ist in letzer zeit voll anfällig für hacker >.<. Gerade hat wer was von einer "CP Firewall" gesagt. Gibt es sowas wirklich? Wenn nein, gibt es eine andere möglichkeit davor zu schützen?



All times are GMT +1. The time now is 11:19.


Powered by vBulletin®
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Terms of Service | Abuse
Copyright ©2024 elitepvpers All Rights Reserved.