|
You last visited: Today at 11:19
Advertisement
config.php > real_escape (schützen) - SQL Injection
Discussion on config.php > real_escape (schützen) - SQL Injection within the Coding Tutorials forum part of the General Coding category.
07/30/2010, 10:01
|
#1
|
elite*gold: 0
Join Date: Jun 2010
Posts: 1,567
Received Thanks: 974
|
config.php > real_escape (schützen) - SQL Injection
yo, da ja die meisten bob server gepwnd werden & die "ultra1227hax0rz" ja immer sql injection's machen & meißt die daten aus den configs kriegen, könnt ihr euch so ein bissl besser "schützen"
Achtung: es ist nur ein teil, ihr müsst noch etwas hinzufügen was ich aber nich "publishen" werde.
PHP Code:
<?php // Verbindung herstellen & datenangeben $link = mysql_connect('mysqlhost', 'mysqluser', 'mysqlpassword') OR die(mysql_error());
// Anfrage erstellen $query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'", mysql_real_escape_string($user), mysql_real_escape_string($password)); ?>
das ganze könnt ihr auch machen in eurem itemshop, da die meisten SQL injections dort stattfinden.
die meisten injection's finden mit simplen "befehlen" like this statt:
PHP Code:
<?php // Datenbankabfrage zur Ueberpruefung der Logindaten $query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'"; mysql_query($query);
// Wir haben $_POST['password'] nicht geprueft, es koennte also alles darin // stehen, was der User will. Zum Beispiel: $_POST['username'] = 'aiiR7bob'; $_POST['password'] = "' OR ''='";
// Das bedeutet, der an MySQL gesendete Query wuerde sein: echo $query; ?>
ich poste es NICHT, damit ihr andere server pwn könnt, sonder das is eher 'ne "prüfung" ob ihr alle zusammen arbeitet & 'n sicheres user&admin panel zusammenstellt.
// - die befehle müssen natürlich auch richtig eingesetzt werden (injection) - ist nur ne simple methode, also schützt euch durch realescape strings.
|
|
|
07/30/2010, 10:02
|
#2
|
elite*gold: 0
Join Date: Jan 2009
Posts: 6,399
Received Thanks: 2,398
|
Schön gemacht, digg0r!
|
|
|
07/30/2010, 10:51
|
#3
|
elite*gold: 0
Join Date: Jul 2010
Posts: 1,001
Received Thanks: 579
|
omg, gut!
aber wie kann man die configs denn ankucken?
also als außenstehender..?!
|
|
|
07/30/2010, 10:53
|
#4
|
elite*gold: 0
Join Date: Jun 2010
Posts: 1,567
Received Thanks: 974
|
Quote:
Originally Posted by PangerLenis
omg, gut!
aber wie kann man die configs denn ankucken?
also als außenstehender..?!
|
naja, theoritisch geht's eig nicht - es gibt aber dank dem achsotollen SQL Injection immermöglichkeiten gewisse sachen aus der DB auszulesen, wenn man glück hat & an den richtigen usernamen der config kommt kann man die daten auch auslesen, sicherheitshalber kack da würde ich lieber noch 'ne .htaccess in den ordner legen, wo die config liegt - dann ist der schutz "optimal"
|
|
|
07/30/2010, 10:57
|
#5
|
elite*gold: 0
Join Date: Oct 2009
Posts: 995
Received Thanks: 336
|
quellen wären gut ^^
|
|
|
07/30/2010, 11:03
|
#6
|
elite*gold: 20
Join Date: Jun 2010
Posts: 2,237
Received Thanks: 956
|
Quote:
Originally Posted by 2good4you111
quellen wären gut ^^
|
und ?
Hauptsache er macht es für alle Pub da interesiert es keinen von wo des kommt.
|
|
|
07/30/2010, 11:09
|
#7
|
elite*gold: 0
Join Date: Jun 2010
Posts: 1,567
Received Thanks: 974
|
Quote:
Originally Posted by 2good4you111
quellen wären gut ^^
|
yo, aber doof, dass ich's nich daher hab, is zwar genau gleich, hab's aber woandersher.
außerdem sind meine ganzen sachen anderst, & das iher is nur 'n teil davon & solange es schützt juckt keinen die quelle, oder? ;O
|
|
|
07/30/2010, 11:09
|
#8
|
elite*gold: 0
Join Date: Jan 2008
Posts: 3,026
Received Thanks: 4,504
|
"Quellen wären gut"
Sachmal junge hagelst du? Warum sollte er quellen hinschreiben, von Dingen, die er selber geschrieben hat?
Was mysql_real_escape_string(); bzw addslashes(); ist/sind, müsse eigtl jeder wissen, welcher auch nurn ganz ganz ganz ganz ganz kleines Hirn hat.
|
|
|
07/30/2010, 11:17
|
#9
|
elite*gold: 0
Join Date: Jun 2010
Posts: 1,567
Received Thanks: 974
|
Quote:
Originally Posted by 2good4you111
quellen wären gut ^^
|
btw - das 1. is von mir & is nur die hälfte von meinem script - das untere ist von 'ner anderen quelle & nich von mir weil ich so bob sql injection nich use.
|
|
|
07/30/2010, 12:44
|
#10
|
elite*gold: 1862
Join Date: Jan 2009
Posts: 3,725
Received Thanks: 7,671
|
PHP ist eine öffentlich Sprache die keine Steuern hat und alle Codes die public sind dürfen nicht dann i-wie patentiert werden da man PHP nicht kaufen kann. Daher schön dasd du es pub. machst aber am besten ist das wenn man einfach diese config.php einfach mal anderen nennt.
|
|
|
07/30/2010, 12:49
|
#11
|
elite*gold: 0
Join Date: Jun 2010
Posts: 1,567
Received Thanks: 974
|
Quote:
Originally Posted by IgorGlock
PHP ist eine öffentlich Sprache die keine Steuern hat und alle Codes die public sind dürfen nicht dann i-wie patentiert werden da man PHP nicht kaufen kann. Daher schön dasd du es pub. machst aber am besten ist das wenn man einfach diese config.php einfach mal anderen nennt.
|
1. kd - 2. bringt's nix weil man das verzeichnis einsehen kann mit gewissen befehlen, solange 'ne .htaccess im verzecihnis ist sollte es schicken, sofern die config auch die real_escape-strings hat.
|
|
|
|
Similar Threads
|
VB Code schützen?
09/11/2010 - .NET Languages - 2 Replies
Hi Leute, habe ne Frage, kann man iwi den Code schützen bei Visual Basic 2010?
Hier genauere Beschreibung dazu was ich meine:
Mit dem Red Gate´s .NET Reflector kann man in den Code so rein schauen, und dabei sieht die Person auch meine Email und Passwort, da dort die Daten hingeschickt werden, kann man das irgentwie schützen?
http://img52.imageshack.us/img52/1286/unbenanntma k.png
|
[HowTO] Vor Hacker schützen :)
08/19/2010 - Metin2 PServer Guides & Strategies - 19 Replies
Hallo, das ist mein erster Tut deswegen bitte nicht so hart sein :D
Ja ich hab gelesen das viele Hacker unterwegs sind :)
Deswegen wollte ich euch ein Tipp geben wir ihr besseren schutz hab :)
Ihr geht auf Navicat - verbindet euch mit eurer DB
|
[B]Gegen SQL Injection schützen
07/29/2010 - Coding Tutorials - 6 Replies
Hey Leute,
Ich hab hier mal was nettes für euch.
Ich hab viele Metin2 Hp´s gesehen die sehr SQLI Infitierbar sind.
Und Geb euch hier mal einen Kleinen Quell Code der euch dafor schützen kann.
Es ist kein Tut nur ein Code die wo sich ein wenig aus kennen wissen wohhin damit :P
<?
# Funktion macht Befehle zur Eingabe in SQL-Strings sicher vor Injection, da durch die Eingabe gegebene ' gequoted werden
|
CP vor Hacker schützen?
12/25/2005 - Technical Support - 4 Replies
Hi,
unser server ist in letzer zeit voll anfällig für hacker >.<. Gerade hat wer was von einer "CP Firewall" gesagt. Gibt es sowas wirklich? Wenn nein, gibt es eine andere möglichkeit davor zu schützen?
|
All times are GMT +1. The time now is 11:19.
|
|