Kurt Z: Vor SQL-Injection warnen?

Hi

bei einer Webseite hab ich mir erlaubt händisch mit dem Query rumzuspielen und bekam folgende Meldung:

Error in executing SQL: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE id != 27 ORDER BY xxx.lastAction DESC LIMIT 30' at

Hmmm... ich kenne mich mit DB nicht wirklich aus, soll ich die Betreiber vor Sicherheitslückn warnen?

Wie kann ichs abtesten? Ich hab ein Wikipediabeispiel für Injection genommen  und gönnerhaft "format C" mit "ls -l" ausgetauscht.

Die Seite wurde dann fehlerfrei angezeigt, keine Warnung keine Beschwerde...

Heißt das die Injection ist fehlerfrei durchgelaufen ???

Ciao
 Kurt

  1. Grüße,

    Error in executing SQL: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE id != 27 ORDER BY xxx.lastAction DESC LIMIT 30' at

    das heißt dass du den query falsch geschriegeben hast, "syntax"-fehler.

    WHERE id != 27 ORDER BY xxx.lastAction DESC LIMIT 30
    spaltennahmen setzt man in `` (shift+die taste links vom backspace)
    den abgleichwert glaube ich in '' aber ich irre mich vermutlich..
    MFG
    bleicher

    --
    __________________________-
    Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
    Lieber bereuen gesündigt zu haben, als nicht sündigen und es später trotzdem bereuen.
    Boccaccio
    1. NVM - hätte aufmerksamer lesen müssen.

    2. Hallo,

      spaltennahmen setzt man in `` (shift+die taste links vom backspace)
      den abgleichwert glaube ich in '' aber ich irre mich vermutlich..

      Nö.

      Grüße, Matze

      1. Grüße,

        Nö.

        wie "nö, du irrst dich" oder "nö, du irrst dich nicht"?
        MFG
        bleicher

        --
        __________________________-
        Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
        Lieber bereuen gesündigt zu haben, als nicht sündigen und es später trotzdem bereuen.
        Boccaccio
        1. Hallo,

          Nö.
          wie "nö, du irrst dich" oder "nö, du irrst dich nicht"?

          Zitat

          aber ich irre mich vermutlich

          Nein, du irrst dich nicht. Spalten in `` und die Werte in ''.

          Grüße, Matze

  2. Hi

    Ist ja lieb dass ihr mir SQL-Tips geben wollt :)
    Ich will aber wissen:

    Hmmm... ich kenne mich mit DB nicht wirklich aus, soll ich die Betreiber vor Sicherheitslücken warnen?

    IMHO sollte ein Script die Daten beim untainten checken und monieren!
    Wenn aber falsche Daten bis zum SQL-Query durchgereicht werden, ist eine Sicherheitslücke wahrscheinlich.

    Wie seht ihr das?

    Gruß
      Kurt

    1. Grüße,

      IMHO sollte ein Script die Daten beim untainten checken und monieren!
      Wenn aber falsche Daten bis zum SQL-Query durchgereicht werden, ist eine Sicherheitslücke wahrscheinlich.

      Wie seht ihr das?

      AFAIK gibts mehr als nur eine methode katzen zu häuten - evtl. erzeugen falsche daten eben eine fehlermeldung weil sie den "sicherheitscheck" nicht passieren. ist aber IMHO betreibers sache- aufwand steigt mit zunehmender sicherheit exponentiell.

      MFG
      bleicher

      --
      __________________________-
      Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
      Lieber bereuen gesündigt zu haben, als nicht sündigen und es später trotzdem bereuen.
      Boccaccio
      1. Moin!

        IMHO sollte ein Script die Daten beim untainten checken und monieren!
        Wenn aber falsche Daten bis zum SQL-Query durchgereicht werden, ist eine Sicherheitslücke wahrscheinlich.

        Wie seht ihr das?

        AFAIK gibts mehr als nur eine methode katzen zu häuten - evtl. erzeugen falsche daten eben eine fehlermeldung weil sie den "sicherheitscheck" nicht passieren. ist aber IMHO betreibers sache- aufwand steigt mit zunehmender sicherheit exponentiell.

        Hier geht es nicht um Sicherheitsfragen, sondern um grundlegende Datenbehandlung. Wenn eine Applikation mit speziell gefertigten Userdaten SQL-Fehler produziert, ist ein grundlegender Fehler enthalten, der beseitigt werden muß.

        - Sven Rautenberg

        --
        "Love your nation - respect the others."
    2. Hallo Kurt,

      Hmmm... ich kenne mich mit DB nicht wirklich aus, soll ich die Betreiber vor Sicherheitslücken warnen?

      Du kannst ihn zumindest auf die Fehlermeldung hinweisen. Was spräche denn gegen einen Hinweis?

      Jonathan