Ergebnis 1 bis 10 von 10

Thema: Datenbankabfrage sicher?

  1. #1
    HTML Newbie
    Registriert seit
    21.10.2006
    Beiträge
    6
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard Datenbankabfrage sicher?

    Moin moin,
    mir hat ein kleiner Programmierer ein ebenso kleiens Script geschrieben.
    Nun wollte ich gerne einmal wissen ob das was der kleine Programmierer geschrieben hat auch wirklich sicher ist, weswegen ich heir meine Frage an Euch richte
    Es handelt sich um einen Adminlogin.
    Die entsprechenden Teile hier in aller Kürze:

    1) Loginformular für den Admin welches in den Variablen $username den Usernamen und in $passwort das Passwort an folgende Datei sendet:

    2) Datei die eben genanntes ausliest, eien DB-Abfrage macht und bei Korrektheit der Daten etwas ausgibt:

    Code:
    $daten=mysql_query("select * from user ORDER BY punkte");
    
    $check = "SELECT adminname FROM setup WHERE daten LIKE 'daten'";
    $check2 = mysql_query($check);
    $check3 = mysql_fetch_object($check2);
    
    $pwd = "SELECT adminpasswort FROM setup WHERE daten LIKE 'daten'";
    $pwd2 = mysql_query($pwd);
    $pwd3 = mysql_fetch_object($pwd2);
    
    if ($username == $check3->adminname AND $passwort == $pwd3->adminpasswort)
    {
    
    --Entsprechende erfolgverheißende Meldung für den Admin und eine Datenausgabe folgender Art:
    
    while($row = mysql_fetch_array($daten)) {
    --Ausgabe
    
    --und natürlich werden alle Klammern geschlossen
    
    }}
    Könnte es nun sein, dass sobald der böse Mann, sobald er diesen Schnipsel sieht, zu meiner Seite rennt und dreist in meinen Adminbereich eindringt?
    Verzeiht mir, ich bin nicht so bewand in PHP und die entsprechenden Threads für SQL-injections brachten mir nciht viel da diese immer voraussetzten dass die übergeben Variable des Loginscriptes direkt im Query weietrverwendet wird, hier werden erst die Daten ausgelesen und dann mit der Eingabe verglichen - scheinbar ideal mag ich denken, doch ich frage lieber noch einmal jemanden der es besser weiß


    Gruß & Thx,
    Euer lolman
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!

  2. #2
    Forum Guru
    Registriert seit
    04.04.2005
    Beiträge
    4.139
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    SQL Injections sind so nicht möglich, da bei den Querys keine vom User eingegebene Strings ausgewertet werden.

    Um es genau beurteilen zu können, müsste man das ganze Script sehen.
    Wie zum Beispie, wie du die eingebenen Daten übernimmst
    Facebook Gruppe: Böses Encoding

  3. #3
    HTML Newbie
    Themenstarter

    Registriert seit
    21.10.2006
    Beiträge
    6
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Aber jerne doch - ich versende sie per Post - nächsten Tag ist dann der Postbote da und wirft sie in den Briefkasten des Servers

    Das Formular muss ich ja nicht weiter, oder?
    oder!

    Code:
    <form action="datei2.php" method="POST">
    <input type="text" size="20" name="username">
    
     <input type="password" size="20" name="passwort">
    </form>

    Vielen Dank schonma,
    Euer lolman

  4. #4
    Forum Guru
    Registriert seit
    04.04.2005
    Beiträge
    4.139
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Der Teil ist eigentlich egal.
    Aber der PHP Teil in dem du die Variablen aus dem POST ausliest ist wichtig.

    Sagen wir es so:
    hast du sie in diesem Schema ausgelesen?
    $username = $_POST['username'];
    Facebook Gruppe: Böses Encoding

  5. #5
    Fortgeschrittene/r
    Registriert seit
    30.09.2006
    Beiträge
    150
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Hi habe was zu diesem Thema gepostet, sollte dir helfen !

    http://www.forum-hilfe.de/viewtopic.php?p=166208
    Suchst du kostenlose Scripte ?

    dann klick hier
    http://rescue-center.de

  6. #6
    HTML Newbie
    Themenstarter

    Registriert seit
    21.10.2006
    Beiträge
    6
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    @RMB:
    Nein, die Variablen sind ja schon vorhanden da im Formular per Post übermittelte Eingabefeldernamen etc. schon direkt eine Variable gleichen Namens zugeordnet wird - hier eben $username und $passwort.

    @webcool:
    Ja, diesen Text las ich auch, nur ist dort ja eine ganz andere Situation gegeben, nämlich dass die übermittelten Daten direkt in die Datenbankanfrage eingefügt werden - hier werden sie nur mit der Datenbankabfrage verglichen.
    Zu der configdatei sollte ich vll noch sagen, dass diese sihc in einem Ordner namens "config" in der Datei config.php befindet.
    Wie kann man denn das ausnutzen wenn die Rechte auf 777 stehen würden?
    Kann mann sie dann einfach mit fsockopen(); und der kompletten Pfadangabe (http://etc.) öffnen?


    Vielen Dank schonmal,
    Euer lolman

  7. #7
    Fortgeschrittene/r
    Registriert seit
    30.09.2006
    Beiträge
    150
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    ja knn man denn mit 777 chmod gibst du die erlaubnis das auch externe scripte die betroffene Datei ausführen z.b. mit include, Lesen oder beschreiben dürfen !

    ausser wenn in der php.ini Datei es dem entsprechen gesperrt worden ist z.b.
    fsockopen wie bei funpic oder das man nur dateien ausführen darf die im dateisystem zur verfügung stehen !
    Suchst du kostenlose Scripte ?

    dann klick hier
    http://rescue-center.de

  8. #8
    HTML Newbie
    Themenstarter

    Registriert seit
    21.10.2006
    Beiträge
    6
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Ok, und sonst ist das Teil sicher?


    Vielen Dank,
    Euer lolman

  9. #9
    Fortgeschrittene/r
    Registriert seit
    30.09.2006
    Beiträge
    150
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    das weiss ich nicht, ich weiss ja nicht was die methoden in deiner klasse machen kann ja sein das du dort ja usereingaben übergibst da du ja au ein formular haben musst ! wie schon mal in diesem thread erwähnt muss ich das ganze script sehen !

    Faustregel ist das alle usereingaben auch cookies und sessions immer als manipuliert betrachtet werden sollten und dem entsprechend sicherst du dich ab mit den funktionen die ich in meinem tut benutzt habe !

    Suchst du kostenlose Scripte ?

    dann klick hier
    http://rescue-center.de

  10. #10
    HTML Newbie
    Themenstarter

    Registriert seit
    21.10.2006
    Beiträge
    6
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard

    Was brauchst Du da denn noch?
    Forumular hast Du, die komplette Auslese auch.

    Gruß,
    Dein lolman

Ähnliche Themen

  1. Datenbankabfrage mit ColdFusion
    Von dragonheart im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 3
    Letzter Beitrag: 28.03.2006, 14:42
  2. Fehler bei Datenbankabfrage
    Von yngvar im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 14
    Letzter Beitrag: 16.06.2005, 09:40
  3. Datenbankabfrage auf Website
    Von holger_155 im Forum HTML & CSS Forum
    Antworten: 1
    Letzter Beitrag: 15.09.2004, 09:56
  4. Datenbankabfrage Alter
    Von BlueWonder im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 3
    Letzter Beitrag: 10.05.2004, 17:17

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •