In diesem Video wird gezeigt, wie Sie die Nutzereingaben vor der Übergabe an MySQL reinigen können um so der Gefahr einer SQL-Injection zu entgehen.
- SMBLoris legt Windows lahm - 11. August 2017
- WLAN: Opfer fangen - 13. Juli 2017
- SSH Server absichern - 9. Juli 2017
- Server mit Fail2Ban vor Angriff schützen - 7. Juli 2017
- Rechteverwaltung trickst Schadware aus - 4. Juli 2017
Kommentare zum Video
Semper ist wahrscheinlich der Größte HACKER der Welt <3
PROTIP: möglicherweise hat einigen PHP Entwicklern Magic Quotes den Hals
gerettet da hier automatisch das escapen von POST/GET Variablen übernimmt.
magic_quotes_gpc = On. In PHP 5.3 war dies bereits DEPRECATED in 5.4 wurde
es ENTFERNT. Also doch mal schnell durch die sourcen gehen bevor hier auf
eine neu PHP version geupdated wird. Bzw. Panik! sollte dies von eurem
Hoster ohne euren wissen gemacht worden sein.
Sehr schönes Video
@videozehn Der Aufwand wäre viel größer, denn man müsste selbständig
entscheiden, welche Zeichen man erlaubt und welche nicht. Und wenn man Pech
hat, hat man eines der Zeichen vergessen (oder ein neues kommt in einer
späteren DB-Version hinzu), das dann doch zum Angriff genutzt werden kann.
Der von der jeweiligen Datenbank bereitgestellte Befehl (real_escape oder
pg_escape_string) stellt (so sollte es sein) sicher, dass wirklich jeder
Steuerbefehl maskiert wird.
Für PostgreSQL-Benutzer: hier heißt der Befehl pg_escape_string($string)
… wirklich einer der wichtigsten Befehle überhaupt, wenn es um die
Sicherheit der SQL-Datenbank geht.
@Ladsch Das was Sie aufzählen stimmt zwar, beschreibt aber nur die Theorie.
Die Praxis sieht da gegen wie folgt aus: Arbeitgeber macht Druck auf
Programmierer, dass die Software quasi sofort fertig zu sein hat.
Programmierer verwaltet Millionen von Codezeilen, die er nie geschrieben
hat und selbst auch kaum noch versteht. Er will es auch nicht mehr
verstehen, weil es zu aufwendig ist. So schleppen sich Fehler über
Generationen fort und wg. des Drucks kommen neue “Flüchigkeitsfehler” hinzu.
@MaurisTechChannel Ich schätze mal Sie haben den Kommentar unter das
falsche Video gesetzt, da in diesem Video kein Tool, nur eine PHP-Funktion
gezeigt wird.
Man könnte es doch auch einfach so einstellen, dass keine Sonderzeichen
erlaubt sind, also nur buchstaben und zahlen, oder ?
@TokraAkaOnur Aha? Ja, wo denn? Ich glaube kaum ein “Admin” ist so dumm,
und weiß davon nichts.
@LucasHelpPhotoshop Ist das so? Die Rechtschreib-Tutorials scheinen
ebenfalls fail zu sein.