yo, da ja die meisten bob server gepwnd werden & die "ultra1227hax0rz" ja immer sql injection's machen & meißt die daten aus den configs kriegen, könnt ihr euch so ein bissl besser "schützen"
Achtung: es ist nur ein teil, ihr müsst noch etwas hinzufügen was ich aber nich "publishen" werde.
das ganze könnt ihr auch machen in eurem itemshop, da die meisten SQL injections dort stattfinden.
die meisten injection's finden mit simplen "befehlen" like this statt:
ich poste es NICHT, damit ihr andere server pwn könnt, sonder das is eher 'ne "prüfung" ob ihr alle zusammen arbeitet & 'n sicheres user&admin panel zusammenstellt.
// - die befehle müssen natürlich auch richtig eingesetzt werden (injection) - ist nur ne simple methode, also schützt euch durch realescape strings.
Achtung: es ist nur ein teil, ihr müsst noch etwas hinzufügen was ich aber nich "publishen" werde.
PHP Code:
<?php
// Verbindung herstellen & datenangeben
$link = mysql_connect('mysqlhost', 'mysqluser', 'mysqlpassword')
OR die(mysql_error());
// Anfrage erstellen
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
mysql_real_escape_string($user),
mysql_real_escape_string($password));
?>
die meisten injection's finden mit simplen "befehlen" like this statt:
PHP Code:
<?php
// Datenbankabfrage zur Ueberpruefung der Logindaten
$query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($query);
// Wir haben $_POST['password'] nicht geprueft, es koennte also alles darin
// stehen, was der User will. Zum Beispiel:
$_POST['username'] = 'aiiR7bob';
$_POST['password'] = "' OR ''='";
// Das bedeutet, der an MySQL gesendete Query wuerde sein:
echo $query;
?>
// - die befehle müssen natürlich auch richtig eingesetzt werden (injection) - ist nur ne simple methode, also schützt euch durch realescape strings.