Sql injection

[Godl!ke]

Quote:

Originally Posted by Timo264

Es gibt kein Fixed.
Dann klemmt man sich halt hinter diese abfragen, damit hat man es nur um eine Ebene verschoben. Wie meak schon gesagt hat ist zwar dann schwieriger, aber niemals unmöglich

Code:

<?

// initialisieren
$sicherheitsstatus = true;
// Eingabe speichern
$benutzereingabe = $_POST['benutzereingabe'];
// Eingabe überprüfen
$sicherheitsstatus = checkinput($benutzereingabe);

// SQL-Query ausführen
if($sicherheitsstatus) {
	sql_query("BLA BLA");
}

?>

checkinput gibt false zurück, wenn die Eingabe nicht alphanumerisch ist (also nur aus a-z, A-Z, 0-9 besteht), nicht die richtige Länge hat oder was sonst noch falsches auf die Eingabe zutrifft.

Und nun erzähl mir mal, wie du da hinter die Abfrage kommst und eine SQL-Injection einschleust?

[meak1]

oO dumm? er wirds jez nich können aber es gibt sicher leute die genug erfahrung haben...

[Godl!ke]

Quote:

Originally Posted by meak1

oO dumm? er wirds jez nich können aber es gibt sicher leute die genug erfahrung haben...

Und warum schreibst du dann nicht, wie du daran vorbei kommst.
Immerhin hast du behauptet es sei immer möglich mit den "richtigen code skillz".

Wenn du es selber aber nicht kannst und diese "code skillz" nicht besitzt, dann frage ich mich aus welcher Erfahrung her du solche Aussagen von dir gibts?

[katze123]

Deine Signatur solltest du auch mal betrachten wenn du dich schon lustig machts über "richtigen code skillz"
meak weiß schon was er sagt...

[meak1]

es ist auch möglich , wozu gibs leute die protection schreiben und wozu gibs welche die die dann wieder umgehen? es is nix unmöglich...

ich habe selber nicht soviel erfahrung mit sql undso aber wenn man mal überlegt is es doch logisch das es i-wer wieder knackt?

[Eiscremekugel]

Quote:

Originally Posted by meak1

es ist auch möglich , wozu gibs leute die protection schreiben und wozu gibs welche die die dann wieder umgehen? es is nix unmöglich...

ich habe selber nicht soviel erfahrung mit sql undso aber wenn man mal überlegt is es doch logisch das es i-wer wieder knackt?

nein muss godlike leider recht geben....
jedenfalls nicht mit na sql injection.... vill findet man en anderen bug un man kann exploiten etc.

aber wenn man weiss wie mans macht, ist es nahezu unmöglich ne sql injection zufinden

...


naja aber eigentlich gehts ja nur darum das es so hinegstellt wurde als sei es unmöglich ne sql injection bei nem kalserver zufinden un das isses sicher net :P

[Godl!ke]

Quote:

Originally Posted by meak1

es ist auch möglich , wozu gibs leute die protection schreiben und wozu gibs welche die die dann wieder umgehen? es is nix unmöglich...

Das trifft auf andere Dinge durchaus zu, jedoch nicht auf diesen speziellen Fall, um den es hier im Thread geht.

[BorSti]

Quote:

Originally Posted by Godl!ke

Das trifft auf andere Dinge durchaus zu, jedoch nicht auf diesen speziellen Fall, um den es hier im Thread geht.

made by human can be hacked by human - mal wieder nen bullshit thread da hat einer mal 1 seite über sql inject gelesen und schreit nun wieder rum

ausgangsfrage schon längst beantwortet - falls du underground foren brauchst sag bescheid sonst ist für den anfang wie immer google + youtube geil

hf weiter mit eurem gefassel< -> joining reallife - take care

[Godl!ke]

Quote:

Originally Posted by BorSti

made by human can be hacked by human - mal wieder nen bullshit thread da hat einer mal 1 seite über sql inject gelesen und schreit nun wieder rum

Bullshit Thread?! Ich würde es eher als eine Diskussions-Runde bezeichnen und solche sind in Foren durchaus üblich.

[Eiscremekugel]

Quote:

Originally Posted by BorSti

made by human can be hacked by human - mal wieder nen bullshit thread da hat einer mal 1 seite über sql inject gelesen und schreit nun wieder rum

ausgangsfrage schon längst beantwortet - falls du underground foren brauchst sag bescheid sonst ist für den anfang wie immer google + youtube geil

hf weiter mit eurem gefassel< -> joining reallife - take care

stimmt ***. aber wenn sql fixxed is fixxed jedoch heisst das nicht das im system ne andere lücke gibt durch die man sich vorteile verschaffen könnte!


denkt doch mal nach ...rein logisch... wenn es IMMER einen weg geben würde irgendwie ne sql injection zumachen ...

dann wären @ foren wie epvp,mpc,bmw,ford schon hacked .
da die leute die sowas wirklich können sich bei sonem forum mit 50k usern auch gerne mal reinhaengen !
jedoch is das nich der fall.... da es mittlerweile einfach schon möglich ist sql injection wirklich zu 95% zufixxen!

manche können sich vill auch erinnern das ich ne zeitlang das angebot hatte server secure zumachen auch gegen sql injection.

auserdem hab ich selber schon die ein oder andere gemacht
auch wenn das seine zeit her ist.

[BorSti]

Quote:

Originally Posted by Eiscremekugel

stimmt ***. aber wenn sql fixxed is fixxed jedoch heisst das nicht das im system ne andere lücke gibt durch die man sich vorteile verschaffen könnte!


denkt doch mal nach ...rein logisch... wenn es IMMER einen weg geben würde irgendwie ne sql injection zumachen ...

dann wären @ foren wie epvp,mpc,bmw,ford schon hacked .
da die leute die sowas wirklich können sich bei sonem forum mit 50k usern auch gerne mal reinhaengen !
jedoch is das nich der fall.... da es mittlerweile einfach schon möglich ist sql injection wirklich zu 95% zufixxen!

manche können sich vill auch erinnern das ich ne zeitlang das angebot hatte server secure zumachen auch gegen sql injection.

auserdem hab ich selber schon die ein oder andere gemacht
auch wenn das seine zeit her ist.

nichts gegen dein können - tatsache ist das foren schon gehackt wurden wie ragez*ne nur was willste mit irgendwelchen foren logins - gut epvpler hat nun ein zahlungssystem aber naja sonst ist es sinnfrei - aber gut zurück zur topic -gibt wenige p server die einen geskillten web develop haben somit sind einige easy injectbar

[bloodx]

1. db dump von epvp

= 30.000€ und mehr
ach 30.000 ist sogar viel zu wenig eig....
kann ich mit dir wetten...

[BorSti]

Quote:

Originally Posted by bloodx

1. db dump von epvp

= 30.000€ und mehr
ach 30.000 ist sogar viel zu wenig eig....
kann ich mit dir wetten...

Quote:

Originally Posted by BorSti

nichts gegen dein können - tatsache ist das foren schon gehackt wurden wie ragez*ne nur was willste mit irgendwelchen foren logins - gut epvpler hat nun ein zahlungssystem aber naja sonst ist es sinnfrei - aber gut zurück zur topic -gibt wenige p server die einen geskillten web develop haben somit sind einige easy injectbar

.

[bloodx]

Quote:

Originally Posted by BorSti

Quote:

Quote:

.

aha... das sagt aber immer noch nix

wenn du damit sagen willst ich hab unrecht.. naja =)

[fraggle1337]

Normalerweise kann man sich gegen SQL Injects mittlerweile gut "schützen", wie GodLike schon sagte. Jeglicher Userinput muss halt gefiltert werden damit kein Fremdcode auf der Seite ausgeführt wird.
Das Prinzip eines SQL Injects ist nämlich ziemlich simpel...
Flame on >.>