Vor SQL-Injection warnen?
Kurt Z
- datenbank
Hi
bei einer Webseite hab ich mir erlaubt händisch mit dem Query rumzuspielen und bekam folgende Meldung:
Error in executing SQL: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE id != 27 ORDER BY xxx.lastAction DESC LIMIT 30' at
Hmmm... ich kenne mich mit DB nicht wirklich aus, soll ich die Betreiber vor Sicherheitslückn warnen?
Wie kann ichs abtesten? Ich hab ein Wikipediabeispiel für Injection genommen und gönnerhaft "format C" mit "ls -l" ausgetauscht.
Die Seite wurde dann fehlerfrei angezeigt, keine Warnung keine Beschwerde...
Heißt das die Injection ist fehlerfrei durchgelaufen ???
Ciao
Kurt
Grüße,
Error in executing SQL: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE id != 27 ORDER BY xxx.lastAction DESC LIMIT 30' at
das heißt dass du den query falsch geschriegeben hast, "syntax"-fehler.
WHERE id
!= 27 ORDER BY xxx.lastAction DESC LIMIT 30
spaltennahmen setzt man in `` (shift+die taste links vom backspace)
den abgleichwert glaube ich in '' aber ich irre mich vermutlich..
MFG
bleicher
NVM - hätte aufmerksamer lesen müssen.
Hallo,
spaltennahmen setzt man in `` (shift+die taste links vom backspace)
den abgleichwert glaube ich in '' aber ich irre mich vermutlich..
Nö.
Grüße, Matze
Grüße,
Nö.
wie "nö, du irrst dich" oder "nö, du irrst dich nicht"?
MFG
bleicher
Hallo,
Nö.
wie "nö, du irrst dich" oder "nö, du irrst dich nicht"?
Zitat
aber ich irre mich vermutlich
Nein, du irrst dich nicht. Spalten in `` und die Werte in ''.
Grüße, Matze
Hi
Ist ja lieb dass ihr mir SQL-Tips geben wollt :)
Ich will aber wissen:
Hmmm... ich kenne mich mit DB nicht wirklich aus, soll ich die Betreiber vor Sicherheitslücken warnen?
IMHO sollte ein Script die Daten beim untainten checken und monieren!
Wenn aber falsche Daten bis zum SQL-Query durchgereicht werden, ist eine Sicherheitslücke wahrscheinlich.
Wie seht ihr das?
Gruß
Kurt
Grüße,
IMHO sollte ein Script die Daten beim untainten checken und monieren!
Wenn aber falsche Daten bis zum SQL-Query durchgereicht werden, ist eine Sicherheitslücke wahrscheinlich.Wie seht ihr das?
AFAIK gibts mehr als nur eine methode katzen zu häuten - evtl. erzeugen falsche daten eben eine fehlermeldung weil sie den "sicherheitscheck" nicht passieren. ist aber IMHO betreibers sache- aufwand steigt mit zunehmender sicherheit exponentiell.
MFG
bleicher
Moin!
IMHO sollte ein Script die Daten beim untainten checken und monieren!
Wenn aber falsche Daten bis zum SQL-Query durchgereicht werden, ist eine Sicherheitslücke wahrscheinlich.Wie seht ihr das?
AFAIK gibts mehr als nur eine methode katzen zu häuten - evtl. erzeugen falsche daten eben eine fehlermeldung weil sie den "sicherheitscheck" nicht passieren. ist aber IMHO betreibers sache- aufwand steigt mit zunehmender sicherheit exponentiell.
Hier geht es nicht um Sicherheitsfragen, sondern um grundlegende Datenbehandlung. Wenn eine Applikation mit speziell gefertigten Userdaten SQL-Fehler produziert, ist ein grundlegender Fehler enthalten, der beseitigt werden muß.
- Sven Rautenberg
Hallo Kurt,
Hmmm... ich kenne mich mit DB nicht wirklich aus, soll ich die Betreiber vor Sicherheitslücken warnen?
Du kannst ihn zumindest auf die Fehlermeldung hinweisen. Was spräche denn gegen einen Hinweis?
Jonathan