Website auf Injections checken

[lnqlorlouz]

Hallo,

wollte mal fragen ob mir einer meine Homepage auf SQL-Injections checken kann. Oder auf andere kritische Fehler, die einen Datenbank-Zugriff gewähren könnten.


Und gibt es Methoden dies zu verhindern? Sich mehr abzusichern? Gibt es Methoden Injections zu 100% nicht zuzulassen?

Grüße

[tolio]

Alle Nutzereingaben verifizieren, ALLE! sowie Prepared Statements.

[lnqlorlouz]

Quote:

Originally Posted by tolio

Alle Nutzereingaben verifizieren, ALLE! sowie Prepared Statements.

Wie meinst du das? Bin noch nicht so weit mit PHP. Meinst du "loggen"? Oder so etwas wie ein Captcha?

[tolio]

Kommt immer drauf an was genau du machen willst
Wenn möglich ist es das beste mit Whitelists zu arbeiten.
Kleines bsp. du willst nen login machen. Dann brech sofort ab sobald nen Zeichen außer Buchstaben und Zahlen vorkommen.

Aber wie gesagt kommt extrem drauf an was du machen willst ob das sich lohnt oder nicht.

[MrDami123]

Hol dir BackTrack oder die neuere Variante und hau alle Tools die mit Servern und Webseiten zutun haben über deine Webseite.

Edit:
Musst ggf. deinen Serveranbieter fragen.

[.SkyneT.]

Quote:

Originally Posted by MrDami123

Hol dir BackTrack oder die neuere Variante und hau alle Tools die mit Servern und Webseiten zutun haben über deine Webseite.

Edit:
Musst ggf. deinen Serveranbieter fragen.

Ein leicher overkill, da die Tools auch richtig bedient werden wollen oder ?

Ich würde dir etwas automatisiertes, wie zb empfehlen.

[xEncounter]

Alle $_POST Daten über mysql_real_escape_string sichern.

Sowie strip_tags verwenden.

[tolio]

^ get daten nicht zu überprüfen ist genauso fatal oder wie auch immer sonst daten reinkommen, zb cookies etc

[Coniesan]

Naja vielleicht hilfts ja:
Ich hab bei mir immer so ne function (oder so in der Art), mit der ich prüfe, ob eine Eingabe erlaubt ist, oder nicht (hier nicht Objekt orientiert):

PHP Code:

/********************
**     Function    **
********************/
function checkForbidden($value) {
    $checkit = preg_match("/^[^!\"\/?*':<>[:space:]]+$/",$value);
    if($checkit) return true;
    else return false;
}

/********************
**        Query    **
********************/
if(checkForbidden($_POST['input'])!=true)
{
    echo "Sorry your string isn't valid";
} else {
    echo "Your string is vald!";
} 


PS: mysql_real_escape_sting ist veraltet....

[lnqlorlouz]

Quote:

Originally Posted by Coniesan

Naja vielleicht hilfts ja:
Ich hab bei mir immer so ne function (oder so in der Art), mit der ich prüfe, ob eine Eingabe erlaubt ist, oder nicht (hier nicht Objekt orientiert):

PHP Code:

/********************
**     Function    **
********************/
function checkForbidden($value) {
    $checkit = preg_match("/^[^!\"\/?*':<>[:space:]]+$/",$value);
    if($checkit) return true;
    else return false;
}

/********************
**        Query    **
********************/
if(checkForbidden($_POST['input'])!=true)
{
    echo "Sorry your string isn't valid";
} else {
    echo "Your string is vald!";
} 


PS: mysql_real_escape_sting ist veraltet....

Danke werd's demnächst mal probieren.

[Damono]

Habe mal eben mit Havij Free gescannt, gegen die ganz kleinen Kiddies biste dann schon mal abgesichert:

Quote:

Havij 1.15 Free!
You are using the Free version of Havij which is limited in some features, Please purchase the commerical version at
Analyzing
Host IP: 84.201.35.203
Web Server: Apache
Powered-by: PleskLin
Keyword Found: Germany
I guess injection type is Integer?! If injection failed, retry with a manual keyword.
Can't find db server type! But maybe there be some chances! [-o<
Cannot find column count!
Testing for MySQL error based injection method
MySQL error based injection method cant be used!
MsSQL time based injection method can be used (4477ms delay)
Finding current data base
MsSQL Blind and time based are not supported in free version! Please purchase the commerical version of Havij at

Andere Software habe ich aktuell nicht auf diesem Rechner installiert, werde das morgen mal checken und mich noch mal melden!

[turk55]