Elderan: MySQL-Injection in PHP

Beitrag lesen

Hallo,
hmm ich hoffe ich haben deinen Post richtig verstanden:

Ich finde schon das es hier hingehört, denn das Forum wird auch von vielen PHP-Anfänger besucht.

Wenn die jetzt an einem echten Beispiel sehen wie leicht man eine Passwortabfrage aushebeln kann (bzw. diese Passwortabfrage), dann kann man das jetzt von 2 Seite sehen:

Negaitv:
Die könnten auf dumme Gedanken kommen und nach Scripts suchen die noch so eine Abfrage benutzen.
Wenn die daran wirklich Intresse haben, dann findet man bei Google genug üner MySQL Injection.

Positiv:
Der PHP Neuling hat dies gelesen und weiß jetzt, wie er die Passwortabfrage auf _keinen_ falls Programmieren darf.
Evt. wird er auch seine Freunde warnen.
Wenn so gut wie keiner die Lücke mehr aufreißt, so wird es auch sehr schwer einen Script so auszuhebeln.

Ich kenne viele PHP-Programmierer, teilweise die damit ihr Geld verdienen, die solche Passwortabfragen hin und wieder mal benutzen. bzw. nur durch _Zufall_ so eine nicht benutzt haben.

Falls jetzt jeder solche Angriffe zensiert, löscht, totschweigt etc., so konzentriert sich das Wissen auf wenige Personen die es selbst herrausgefunden haben, was ja auch nicht so schwer ist, wenn man wirklich daran Intressiert hat.
Diese wenigen Personen könnten dann durch Kriminelle Machenschaften viel Schaden anrichten, und die Programmierer hätten keine Ahnung wie die Kriminellen das geschafft haben, denn der Angriff/die Angriffsmethoden wird ja zensiert.

Sehr viele, wenn leider nicht alle, kennen die Gefahr mit dem include.
Wenn man eine Include Datei ungefiltert per URL laden kann, dann kann sowas ja für Firmen gigantischen Schaden anrichten.

Stellen wir uns vor, über dieses Sicherheitsloch drüfte keine Person sprechen.
Was würde passieren?
Immer weniger Personen wüssten davon das include zu gefährlich sein kann, die sterben einfach aus ;), also wird es immer mehr in Scripts benutzt.
Die Folgen könnt ihr euch bestimmt denken....

Wenn aber jetzt _jeder_ PHP-Programmier das Sicherheitsloch kennt, und es _niemals_ in seinen Scripts benutzt, dann wird es für Angreifer unmöglich sein dieses Sicherheitsloch auszunutzen.
Nur wenn eine Minderheit von solchen Sicherheitslocher beschweid weiß, können sie auch viel besser ausgenutzt werden.
Man schaut sich nur mal Sasser an....

Die meißten Privat Personen wussten nicht das der Nachrichtendienst eine Gefahr ist, also deaktivierten sie ihn nicht.

Nach Monaten des bekannt werden des Bugs hat dann so ein dummer Wurm alle unwissenden Bestraft.

MFG
Elderan