yo, da ja die meisten bob server gepwnd werden & die "ultra1227hax0rz" ja immer sql injection's machen & meißt die daten aus den configs kriegen, könnt ihr euch so ein bissl besser "schützen"
Achtung: es ist nur ein teil, ihr müsst noch etwas hinzufügen was ich aber nich "publishen" werde.
PHP Code:
<?php // Verbindung herstellen & datenangeben $link = mysql_connect('mysqlhost', 'mysqluser', 'mysqlpassword') OR die(mysql_error());
// Anfrage erstellen $query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'", mysql_real_escape_string($user), mysql_real_escape_string($password)); ?>
das ganze könnt ihr auch machen in eurem itemshop, da die meisten SQL injections dort stattfinden.
die meisten injection's finden mit simplen "befehlen" like this statt:
PHP Code:
<?php // Datenbankabfrage zur Ueberpruefung der Logindaten $query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'"; mysql_query($query);
// Wir haben $_POST['password'] nicht geprueft, es koennte also alles darin // stehen, was der User will. Zum Beispiel: $_POST['username'] = 'aiiR7bob'; $_POST['password'] = "' OR ''='";
// Das bedeutet, der an MySQL gesendete Query wuerde sein: echo $query; ?>
ich poste es NICHT, damit ihr andere server pwn könnt, sonder das is eher 'ne "prüfung" ob ihr alle zusammen arbeitet & 'n sicheres user&admin panel zusammenstellt.
// - die befehle müssen natürlich auch richtig eingesetzt werden (injection) - ist nur ne simple methode, also schützt euch durch realescape strings.
omg, gut!
aber wie kann man die configs denn ankucken?
also als außenstehender..?!
naja, theoritisch geht's eig nicht - es gibt aber dank dem achsotollen SQL Injection immermöglichkeiten gewisse sachen aus der DB auszulesen, wenn man glück hat & an den richtigen usernamen der config kommt kann man die daten auch auslesen, sicherheitshalber kack da würde ich lieber noch 'ne .htaccess in den ordner legen, wo die config liegt - dann ist der schutz "optimal"
yo, aber doof, dass ich's nich daher hab, is zwar genau gleich, hab's aber woandersher.
außerdem sind meine ganzen sachen anderst, & das iher is nur 'n teil davon & solange es schützt juckt keinen die quelle, oder? ;O
"Quellen wären gut"
Sachmal junge hagelst du? Warum sollte er quellen hinschreiben, von Dingen, die er selber geschrieben hat?
Was mysql_real_escape_string(); bzw addslashes(); ist/sind, müsse eigtl jeder wissen, welcher auch nurn ganz ganz ganz ganz ganz kleines Hirn hat.
btw - das 1. is von mir & is nur die hälfte von meinem script - das untere ist von 'ner anderen quelle & nich von mir weil ich so bob sql injection nich use.
PHP ist eine öffentlich Sprache die keine Steuern hat und alle Codes die public sind dürfen nicht dann i-wie patentiert werden da man PHP nicht kaufen kann. Daher schön dasd du es pub. machst aber am besten ist das wenn man einfach diese config.php einfach mal anderen nennt.
PHP ist eine öffentlich Sprache die keine Steuern hat und alle Codes die public sind dürfen nicht dann i-wie patentiert werden da man PHP nicht kaufen kann. Daher schön dasd du es pub. machst aber am besten ist das wenn man einfach diese config.php einfach mal anderen nennt.
1. kd - 2. bringt's nix weil man das verzeichnis einsehen kann mit gewissen befehlen, solange 'ne .htaccess im verzecihnis ist sollte es schicken, sofern die config auch die real_escape-strings hat.
VB Code schützen? 09/11/2010 - .NET Languages - 2 Replies Hi Leute, habe ne Frage, kann man iwi den Code schützen bei Visual Basic 2010?
Hier genauere Beschreibung dazu was ich meine:
Mit dem Red Gate´s .NET Reflector kann man in den Code so rein schauen, und dabei sieht die Person auch meine Email und Passwort, da dort die Daten hingeschickt werden, kann man das irgentwie schützen?
http://img52.imageshack.us/img52/1286/unbenanntma k.png
[HowTO] Vor Hacker schützen :) 08/19/2010 - Metin2 PServer Guides & Strategies - 19 Replies Hallo, das ist mein erster Tut deswegen bitte nicht so hart sein :D
Ja ich hab gelesen das viele Hacker unterwegs sind :)
Deswegen wollte ich euch ein Tipp geben wir ihr besseren schutz hab :)
Ihr geht auf Navicat - verbindet euch mit eurer DB
[B]Gegen SQL Injection schützen 07/29/2010 - Coding Tutorials - 6 Replies Hey Leute,
Ich hab hier mal was nettes für euch.
Ich hab viele Metin2 Hp´s gesehen die sehr SQLI Infitierbar sind.
Und Geb euch hier mal einen Kleinen Quell Code der euch dafor schützen kann.
Es ist kein Tut nur ein Code die wo sich ein wenig aus kennen wissen wohhin damit :P
<?
# Funktion macht Befehle zur Eingabe in SQL-Strings sicher vor Injection, da durch die Eingabe gegebene ' gequoted werden
CP vor Hacker schützen? 12/25/2005 - Technical Support - 4 Replies Hi,
unser server ist in letzer zeit voll anfällig für hacker >.<. Gerade hat wer was von einer "CP Firewall" gesagt. Gibt es sowas wirklich? Wenn nein, gibt es eine andere möglichkeit davor zu schützen?
