|
You last visited: Today at 01:30
Advertisement
Sql injection
Discussion on Sql injection within the Kal Online forum part of the MMORPGs category.
01/17/2010, 20:04
|
#16
|
elite*gold: 0
Join Date: Oct 2007
Posts: 150
Received Thanks: 114
|
Quote:
Originally Posted by Timo264
Es gibt kein Fixed.
Dann klemmt man sich halt hinter diese abfragen, damit hat man es nur um eine Ebene verschoben. Wie meak schon gesagt hat ist zwar dann schwieriger, aber niemals unmöglich
|
Code:
<?
// initialisieren
$sicherheitsstatus = true;
// Eingabe speichern
$benutzereingabe = $_POST['benutzereingabe'];
// Eingabe überprüfen
$sicherheitsstatus = checkinput($benutzereingabe);
// SQL-Query ausführen
if($sicherheitsstatus) {
sql_query("BLA BLA");
}
?>
checkinput gibt false zurück, wenn die Eingabe nicht alphanumerisch ist (also nur aus a-z, A-Z, 0-9 besteht), nicht die richtige Länge hat oder was sonst noch falsches auf die Eingabe zutrifft.
Und nun erzähl mir mal, wie du da hinter die Abfrage kommst und eine SQL-Injection einschleust?
|
|
|
01/17/2010, 20:32
|
#17
|
elite*gold: 220
Join Date: Jun 2007
Posts: 3,768
Received Thanks: 1,126
|
oO dumm? er wirds jez nich können aber es gibt sicher leute die genug erfahrung haben...
|
|
|
01/17/2010, 20:50
|
#18
|
elite*gold: 0
Join Date: Oct 2007
Posts: 150
Received Thanks: 114
|
Quote:
Originally Posted by meak1
oO dumm? er wirds jez nich können aber es gibt sicher leute die genug erfahrung haben...
|
Und warum schreibst du dann nicht, wie du daran vorbei kommst.
Immerhin hast du behauptet es sei immer möglich mit den "richtigen code skillz".
Wenn du es selber aber nicht kannst und diese "code skillz" nicht besitzt, dann frage ich mich aus welcher Erfahrung her du solche Aussagen von dir gibts?
|
|
|
01/17/2010, 20:52
|
#19
|
elite*gold: 20
Join Date: Jul 2007
Posts: 1,979
Received Thanks: 270
|
Deine Signatur solltest du auch mal betrachten wenn du dich schon lustig machts über "richtigen code skillz"
meak weiß schon was er sagt...
|
|
|
01/17/2010, 21:16
|
#20
|
elite*gold: 220
Join Date: Jun 2007
Posts: 3,768
Received Thanks: 1,126
|
es ist auch möglich , wozu gibs leute die protection schreiben und wozu gibs welche die die dann wieder umgehen? es is nix unmöglich...
ich habe selber nicht soviel erfahrung mit sql undso aber wenn man mal überlegt is es doch logisch das es i-wer wieder knackt?
|
|
|
01/17/2010, 21:29
|
#21
|
elite*gold: 0
Join Date: Feb 2007
Posts: 2,666
Received Thanks: 754
|
Quote:
Originally Posted by meak1
es ist auch möglich , wozu gibs leute die protection schreiben und wozu gibs welche die die dann wieder umgehen? es is nix unmöglich...
ich habe selber nicht soviel erfahrung mit sql undso aber wenn man mal überlegt is es doch logisch das es i-wer wieder knackt?
|
nein muss godlike leider recht geben....
jedenfalls nicht mit na sql injection.... vill findet man en anderen bug un man kann exploiten etc.
aber wenn man weiss wie mans macht, ist es nahezu unmöglich ne sql injection zufinden
...
naja aber eigentlich gehts ja nur darum das es so hinegstellt wurde als sei es unmöglich ne sql injection bei nem kalserver zufinden un das isses sicher net :P
|
|
|
01/17/2010, 21:33
|
#22
|
elite*gold: 0
Join Date: Oct 2007
Posts: 150
Received Thanks: 114
|
Quote:
Originally Posted by meak1
es ist auch möglich , wozu gibs leute die protection schreiben und wozu gibs welche die die dann wieder umgehen? es is nix unmöglich...
|
Das trifft auf andere Dinge durchaus zu, jedoch nicht auf diesen speziellen Fall, um den es hier im Thread geht.
|
|
|
01/17/2010, 21:47
|
#23
|
elite*gold: 20
Join Date: Feb 2008
Posts: 993
Received Thanks: 173
|
Quote:
Originally Posted by Godl!ke
Das trifft auf andere Dinge durchaus zu, jedoch nicht auf diesen speziellen Fall, um den es hier im Thread geht.
|
made by human can be hacked by human - mal wieder nen bullshit thread da hat einer mal 1 seite über sql inject gelesen und schreit nun wieder rum
ausgangsfrage schon längst beantwortet - falls du underground foren brauchst sag bescheid sonst ist für den anfang wie immer google + youtube geil
hf weiter mit eurem gefassel< -> joining reallife - take care
|
|
|
01/17/2010, 21:51
|
#24
|
elite*gold: 0
Join Date: Oct 2007
Posts: 150
Received Thanks: 114
|
Quote:
Originally Posted by BorSti
made by human can be hacked by human - mal wieder nen bullshit thread da hat einer mal 1 seite über sql inject gelesen und schreit nun wieder rum
|
Bullshit Thread?! Ich würde es eher als eine Diskussions-Runde bezeichnen und solche sind in Foren durchaus üblich.
|
|
|
01/17/2010, 23:17
|
#25
|
elite*gold: 0
Join Date: Feb 2007
Posts: 2,666
Received Thanks: 754
|
Quote:
Originally Posted by BorSti
made by human can be hacked by human - mal wieder nen bullshit thread da hat einer mal 1 seite über sql inject gelesen und schreit nun wieder rum
ausgangsfrage schon längst beantwortet - falls du underground foren brauchst sag bescheid sonst ist für den anfang wie immer google + youtube geil
hf weiter mit eurem gefassel< -> joining reallife - take care
|
stimmt ***. aber wenn sql fixxed is fixxed jedoch heisst das nicht das im system ne andere lücke gibt durch die man sich vorteile verschaffen könnte!
denkt doch mal nach ...rein logisch... wenn es IMMER einen weg geben würde irgendwie ne sql injection zumachen ...
dann wären @ foren wie epvp,mpc,bmw,ford schon hacked .
da die leute die sowas wirklich können sich bei sonem forum mit 50k usern auch gerne mal reinhaengen !
jedoch is das nich der fall.... da es mittlerweile einfach schon möglich ist sql injection wirklich zu 95% zufixxen!
manche können sich vill auch erinnern das ich ne zeitlang das angebot hatte server secure zumachen auch gegen sql injection.
auserdem hab ich selber schon die ein oder andere gemacht
auch wenn das seine zeit her ist.
|
|
|
01/18/2010, 09:58
|
#26
|
elite*gold: 20
Join Date: Feb 2008
Posts: 993
Received Thanks: 173
|
Quote:
Originally Posted by Eiscremekugel
stimmt ***. aber wenn sql fixxed is fixxed jedoch heisst das nicht das im system ne andere lücke gibt durch die man sich vorteile verschaffen könnte!
denkt doch mal nach ...rein logisch... wenn es IMMER einen weg geben würde irgendwie ne sql injection zumachen ...
dann wären @ foren wie epvp,mpc,bmw,ford schon hacked .
da die leute die sowas wirklich können sich bei sonem forum mit 50k usern auch gerne mal reinhaengen !
jedoch is das nich der fall.... da es mittlerweile einfach schon möglich ist sql injection wirklich zu 95% zufixxen!
manche können sich vill auch erinnern das ich ne zeitlang das angebot hatte server secure zumachen auch gegen sql injection.
auserdem hab ich selber schon die ein oder andere gemacht
auch wenn das seine zeit her ist.
|
nichts gegen dein können - tatsache ist das foren schon gehackt wurden wie ragez*ne nur was willste mit irgendwelchen foren logins - gut epvpler hat nun ein zahlungssystem aber naja sonst ist es sinnfrei - aber gut zurück zur topic -gibt wenige p server die einen geskillten web develop haben somit sind einige easy injectbar
|
|
|
01/18/2010, 10:07
|
#27
|
elite*gold: 55
Join Date: Mar 2006
Posts: 4,582
Received Thanks: 1,537
|
1. db dump von epvp
= 30.000€ und mehr
ach 30.000 ist sogar viel zu wenig eig....
kann ich mit dir wetten...
|
|
|
01/18/2010, 13:18
|
#28
|
elite*gold: 20
Join Date: Feb 2008
Posts: 993
Received Thanks: 173
|
Quote:
Originally Posted by bloodx
1. db dump von epvp
= 30.000€ und mehr
ach 30.000 ist sogar viel zu wenig eig....
kann ich mit dir wetten...
|
Quote:
Originally Posted by BorSti
nichts gegen dein können - tatsache ist das foren schon gehackt wurden wie ragez*ne nur was willste mit irgendwelchen foren logins - gut epvpler hat nun ein zahlungssystem aber naja sonst ist es sinnfrei - aber gut zurück zur topic -gibt wenige p server die einen geskillten web develop haben somit sind einige easy injectbar
|
.
|
|
|
01/18/2010, 13:31
|
#29
|
elite*gold: 55
Join Date: Mar 2006
Posts: 4,582
Received Thanks: 1,537
|
Quote:
Originally Posted by BorSti
Quote:
Originally Posted by Bloodx
1. db dump von epvp
= 30.000€ und mehr
ach 30.000 ist sogar viel zu wenig eig....
kann ich mit dir wetten...
|
Quote:
Originally Posted by BorSti
nichts gegen dein können - tatsache ist das foren schon gehackt wurden wie ragez*ne nur was willste mit irgendwelchen foren logins - gut epvpler hat nun ein zahlungssystem aber naja sonst ist es sinnfrei - aber gut zurück zur topic -gibt wenige p server die einen geskillten web develop haben somit sind einige easy injectbar
|
.
|
aha... das sagt aber immer noch nix
wenn du damit sagen willst ich hab unrecht.. naja =)
|
|
|
01/18/2010, 13:58
|
#30
|
elite*gold: 0
Join Date: Jan 2008
Posts: 45
Received Thanks: 1
|
Normalerweise kann man sich gegen SQL Injects mittlerweile gut "schützen", wie GodLike schon sagte. Jeglicher Userinput muss halt gefiltert werden damit kein Fremdcode auf der Seite ausgeführt wird.
Das Prinzip eines SQL Injects ist nämlich ziemlich simpel...
Flame on >.>
|
|
|
|
|
Similar Threads
|
Injection How To
03/05/2011 - General Gaming Discussion - 17 Replies
1.) Wo kriege ich Injection her?
-> http://injection.sourceforge.net/
2.) Knallt euch dann alles in ein Verzeichnis, besorgt euch dann einne der supporteten Clients (steht in der ilpatch.cfg)
3.) Decrypted diesen Client mit UORice
-> http://stud4.tuwien.ac.at/~e9425109/UO_RICE.htm
|
WTB sql injection
11/27/2008 - Trading - 0 Replies
prove me that your coin hack work and i will buy it
|
SQL injection.
02/12/2008 - Zero - 0 Replies
Hi all, This is a curious topic because i have found numerous occasions where this has happened on the chinese version of the game.
Also i was wondering if anyone knows of any occasions where it has been done on the English servers?
I've been researching into this and apparently it requires tracing the packets back to the DB server then using a program (once you have the address) to inject your own SQL code into the database indefinitely editing your character to what ever your choosing...
|
DLL Injection
06/12/2007 - Planetside - 2 Replies
???
|
All times are GMT +2. The time now is 01:30.
|
|