Sql injection

Page 2 of 3 1 2 3
01/17/2010 20:04 Godl!ke#16
Quote:
Originally Posted by Timo264 View Post
Es gibt kein Fixed.
Dann klemmt man sich halt hinter diese abfragen, damit hat man es nur um eine Ebene verschoben. Wie meak schon gesagt hat ist zwar dann schwieriger, aber niemals unmöglich
Code:
<?

// initialisieren
$sicherheitsstatus = true;
// Eingabe speichern
$benutzereingabe = $_POST['benutzereingabe'];
// Eingabe überprüfen
$sicherheitsstatus = checkinput($benutzereingabe);

// SQL-Query ausführen
if($sicherheitsstatus) {
	sql_query("BLA BLA");
}

?>
checkinput gibt false zurück, wenn die Eingabe nicht alphanumerisch ist (also nur aus a-z, A-Z, 0-9 besteht), nicht die richtige Länge hat oder was sonst noch falsches auf die Eingabe zutrifft.

Und nun erzähl mir mal, wie du da hinter die Abfrage kommst und eine SQL-Injection einschleust?
01/17/2010 20:32 meak1#17
oO dumm? er wirds jez nich können aber es gibt sicher leute die genug erfahrung haben...
01/17/2010 20:50 Godl!ke#18
Quote:
Originally Posted by meak1 View Post
oO dumm? er wirds jez nich können aber es gibt sicher leute die genug erfahrung haben...
Und warum schreibst du dann nicht, wie du daran vorbei kommst.
Immerhin hast du behauptet es sei immer möglich mit den "richtigen code skillz".

Wenn du es selber aber nicht kannst und diese "code skillz" nicht besitzt, dann frage ich mich aus welcher Erfahrung her du solche Aussagen von dir gibts?
01/17/2010 20:52 katze123#19
Deine Signatur solltest du auch mal betrachten wenn du dich schon lustig machts über "richtigen code skillz"
meak weiß schon was er sagt...
01/17/2010 21:16 meak1#20
es ist auch möglich , wozu gibs leute die protection schreiben und wozu gibs welche die die dann wieder umgehen? es is nix unmöglich...

ich habe selber nicht soviel erfahrung mit sql undso aber wenn man mal überlegt is es doch logisch das es i-wer wieder knackt?
01/17/2010 21:29 Eiscremekugel#21
Quote:
Originally Posted by meak1 View Post
es ist auch möglich , wozu gibs leute die protection schreiben und wozu gibs welche die die dann wieder umgehen? es is nix unmöglich...

ich habe selber nicht soviel erfahrung mit sql undso aber wenn man mal überlegt is es doch logisch das es i-wer wieder knackt?
nein muss godlike leider recht geben....
jedenfalls nicht mit na sql injection.... vill findet man en anderen bug un man kann exploiten etc.

aber wenn man weiss wie mans macht, ist es nahezu unmöglich ne sql injection zufinden

...


naja aber eigentlich gehts ja nur darum das es so hinegstellt wurde als sei es unmöglich ne sql injection bei nem kalserver zufinden un das isses sicher net :P
01/17/2010 21:33 Godl!ke#22
Quote:
Originally Posted by meak1 View Post
es ist auch möglich , wozu gibs leute die protection schreiben und wozu gibs welche die die dann wieder umgehen? es is nix unmöglich...
Das trifft auf andere Dinge durchaus zu, jedoch nicht auf diesen speziellen Fall, um den es hier im Thread geht.
01/17/2010 21:47 BorSti#23
Quote:
Originally Posted by Godl!ke View Post
Das trifft auf andere Dinge durchaus zu, jedoch nicht auf diesen speziellen Fall, um den es hier im Thread geht.
made by human can be hacked by human - mal wieder nen bullshit thread da hat einer mal 1 seite über sql inject gelesen und schreit nun wieder rum

ausgangsfrage schon längst beantwortet - falls du underground foren brauchst sag bescheid sonst ist für den anfang wie immer google + youtube geil

hf weiter mit eurem gefassel< -> joining reallife - take care
01/17/2010 21:51 Godl!ke#24
Quote:
Originally Posted by BorSti View Post
made by human can be hacked by human - mal wieder nen bullshit thread da hat einer mal 1 seite über sql inject gelesen und schreit nun wieder rum
Bullshit Thread?! Ich würde es eher als eine Diskussions-Runde bezeichnen und solche sind in Foren durchaus üblich.
01/17/2010 23:17 Eiscremekugel#25
Quote:
Originally Posted by BorSti View Post
made by human can be hacked by human - mal wieder nen bullshit thread da hat einer mal 1 seite über sql inject gelesen und schreit nun wieder rum

ausgangsfrage schon längst beantwortet - falls du underground foren brauchst sag bescheid sonst ist für den anfang wie immer google + youtube geil

hf weiter mit eurem gefassel< -> joining reallife - take care
stimmt jap. aber wenn sql fixxed is fixxed jedoch heisst das nicht das im system ne andere lücke gibt durch die man sich vorteile verschaffen könnte!


denkt doch mal nach ...rein logisch... wenn es IMMER einen weg geben würde irgendwie ne sql injection zumachen ...

dann wären @ foren wie epvp,mpc,bmw,ford schon hacked .
da die leute die sowas wirklich können sich bei sonem forum mit 50k usern auch gerne mal reinhaengen !
jedoch is das nich der fall.... da es mittlerweile einfach schon möglich ist sql injection wirklich zu 95% zufixxen!

manche können sich vill auch erinnern das ich ne zeitlang das angebot hatte server secure zumachen auch gegen sql injection.

auserdem hab ich selber schon die ein oder andere gemacht :rolleyes:
auch wenn das seine zeit her ist.
01/18/2010 09:58 BorSti#26
Quote:
Originally Posted by Eiscremekugel View Post
stimmt jap. aber wenn sql fixxed is fixxed jedoch heisst das nicht das im system ne andere lücke gibt durch die man sich vorteile verschaffen könnte!


denkt doch mal nach ...rein logisch... wenn es IMMER einen weg geben würde irgendwie ne sql injection zumachen ...

dann wären @ foren wie epvp,mpc,bmw,ford schon hacked .
da die leute die sowas wirklich können sich bei sonem forum mit 50k usern auch gerne mal reinhaengen !
jedoch is das nich der fall.... da es mittlerweile einfach schon möglich ist sql injection wirklich zu 95% zufixxen!

manche können sich vill auch erinnern das ich ne zeitlang das angebot hatte server secure zumachen auch gegen sql injection.

auserdem hab ich selber schon die ein oder andere gemacht :rolleyes:
auch wenn das seine zeit her ist.
nichts gegen dein können - tatsache ist das foren schon gehackt wurden wie ragez*ne nur was willste mit irgendwelchen foren logins - gut epvpler hat nun ein zahlungssystem aber naja sonst ist es sinnfrei - aber gut zurück zur topic -gibt wenige p server die einen geskillten web develop haben somit sind einige easy injectbar
01/18/2010 10:07 bloodx#27
1. db dump von epvp

= 30.000€ und mehr :)
ach 30.000 ist sogar viel zu wenig eig....
kann ich mit dir wetten...
01/18/2010 13:18 BorSti#28
Quote:
Originally Posted by bloodx View Post
1. db dump von epvp

= 30.000€ und mehr :)
ach 30.000 ist sogar viel zu wenig eig....
kann ich mit dir wetten...
Quote:
Originally Posted by BorSti View Post
nichts gegen dein können - tatsache ist das foren schon gehackt wurden wie ragez*ne nur was willste mit irgendwelchen foren logins - gut epvpler hat nun ein zahlungssystem aber naja sonst ist es sinnfrei - aber gut zurück zur topic -gibt wenige p server die einen geskillten web develop haben somit sind einige easy injectbar
.
01/18/2010 13:31 bloodx#29
Quote:
Originally Posted by BorSti View Post
Quote:
Originally Posted by Bloodx View Post
1. db dump von epvp
= 30.000€ und mehr
ach 30.000 ist sogar viel zu wenig eig....
kann ich mit dir wetten...
Quote:
Originally Posted by BorSti View Post
nichts gegen dein können - tatsache ist das foren schon gehackt wurden wie ragez*ne nur was willste mit irgendwelchen foren logins - gut epvpler hat nun ein zahlungssystem aber naja sonst ist es sinnfrei - aber gut zurück zur topic -gibt wenige p server die einen geskillten web develop haben somit sind einige easy injectbar
.
aha... das sagt aber immer noch nix :facepalm:

wenn du damit sagen willst ich hab unrecht.. naja =)
01/18/2010 13:58 fraggle1337#30
Normalerweise kann man sich gegen SQL Injects mittlerweile gut "schützen", wie GodLike schon sagte. Jeglicher Userinput muss halt gefiltert werden damit kein Fremdcode auf der Seite ausgeführt wird.
Das Prinzip eines SQL Injects ist nämlich ziemlich simpel...
Flame on >.>
Page 2 of 3 1 2 3