Ergebnis 1 bis 5 von 5

Thema: MySQL Injections

  1. #1
    minder
    Gast

    Standard MySQL Injections

    Hi @all

    War schon lange nicht mehr hier.

    Also ich hab mich heute morgen mal rangesetzt um ein bischen mit SQL Injections herumzuspielen.

    Da musste ich feststellen, dass diese fast unmöglich sind.

    Hier mein 1. Code:
    PHP-Code:
    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
    <html>
        <head>
            <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
            <title>SQL Injection</title>
        </head>
        <body>
            <?php
             
    include_once 'mysql.php';

             if(
    MySQL::connect() === MySQL::MySQL_Success)
             {
                if(isset(
    $_GET['check']))
                {
                   echo 
    'name="'.$_POST['username'].'" AND password="'.md5($_POST['password']).'"';
                   
    $result =  MySQL::count_entry('users''name="'.$_POST['username'].'" AND password="'.md5($_POST['password']).'"');
                   
                   if(
    $result == 1)
                   {
                      echo 
    '<h1>Success</h1>';
                   }
                   else
                   {
                      echo 
    '<h1>LOL</h1>';
                   }
                }
                else
                {
                   echo 
    '<h1>Login</h1>';
                   echo 
    '<form action="SQL_Injection.php?check=1" method="POST">';
                   echo 
    '<p>Username:<br><input name="username" type="text" size="30" /></p>';
                   echo 
    '<p>Password:<br><input name="password" type="password " size="30" /></p>';
                   echo 
    '<p><input type="submit" value=" Absenden "></p>';
                   echo 
    '</form>';
                }
             }
             else
             {
                echo 
    '<p style="font-weight: bolder; font-size: 48px; font-family: Arial;">Leider keine Datenbank!</p>';
             }
            
    ?>
        </body>
    </html>
    Falls nun die Eingabe beim Feld "Username" == {administrator" or "1"=="1} ist und bei Passwort == {aei" or "1"=="1}

    Dann funktioniert es auch nicht da das ganze Passwortfeld in md5 verschlüsselt wird.
    Querry: name="administrator" or "1"=="1" AND password="a609b99b7ef9fb9652b330170242eeb8"

    Hab ich da einen Überlegungsfehler? Falls nein müsste man sehr schlecht programmieren um eine SQL Injection möglich zu machen.
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!

  2. #2
    König(in) Avatar von Grevas
    Registriert seit
    20.04.2009
    Ort
    In meiner Wohnung.
    Alter
    30
    Beiträge
    1.039
    Danke
    0
    Bekam 5 mal "Danke" in 5 Postings

    Standard AW: MySQL Injections

    Jap, haste.
    ?username=hallo" OR 1=1; "

  3. #3
    minder
    Gast

    Standard AW: MySQL Injections

    nope, geht auch nicht

  4. #4
    Pion
    Gast

    Standard AW: MySQL Injections

    Mit hallo" OR 1=1 solltest du zb alle User bekommen die das übergebene pw besitzen
    Mach ein var_dump($result); und leg mehr benutzer mit dem selben pw an

    BTW
    http://www.hackerregiment.com/mysql-...injection.html
    http://tinkode27.baywords.com/mysql-...kode-and-ne0h/


    mfg
    Geändert von Pion (02.04.2011 um 20:10 Uhr)

  5. #5
    minder
    Gast

    Standard AW: MySQL Injections

    ah cool
    danke

Ähnliche Themen

  1. mysql.php connected sich ncht mit der MySQL Datenbank
    Von Unregistriert im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 4
    Letzter Beitrag: 17.06.2010, 16:51
  2. + und - in MySQL
    Von .Shanii im Forum Datenbank Forum - MySQL und andere Datenbanksoftware
    Antworten: 5
    Letzter Beitrag: 23.03.2010, 11:23
  3. Sicherheit vor SQL Injections?
    Von pattiheonly im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 5
    Letzter Beitrag: 24.09.2007, 13:48
  4. per PHP neue MySQL-Datenbank und MySQL-Benutzer anlegen
    Von sudeki05 im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 3
    Letzter Beitrag: 15.04.2007, 19:40
  5. mysql
    Von matze20099 im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 4
    Letzter Beitrag: 16.01.2006, 15:05

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •