SQL-Injection - Angriff auch über PHP?

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

SQL-Injection - Angriff auch über PHP?

Postby kvo » 27. May 2004 14:17

Bitte zuvor den Heise News lesen:

http://www.heise.de/security/artikel/43175/0

Wer hat Erfahrungen gesammelt? Ich habe jedenfalls keine Lücke gefunden, sowohl PHP + MySQL als auch PHP + MSSQL. Ich poste diese allgemeine Frage erst einmal hier ...
User avatar
kvo
Apache Friends
 
Posts: 184
Joined: 24. January 2003 14:03
Location: Berlin

Postby Wiedmann » 27. May 2004 14:34

Hmm,

für sich alleine ist PHP und MySQl "nicht unsicher". Unsicher können nur die Scripte sein, wenn Formulareingaben ungeprüft an MySQL weitergegeben werden.

Kommt also auf die von dir eingesetzten Scripte drauf an, oder wie du selbst sowas im Code umsetzt.

Im einfachsten Fall mußt du einfach alle Zeichen vor der Übergabe maskieren, die in MySQL eine Bedeutung haben.
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby kvo » 27. May 2004 14:57

Hallo Wiedmann,

richtig, aber auch recht "offene" Queries konnten in meinen Versuchen nicht gehackt werden. U.U. ein geschicktes Zusammenspiel von PHP und MySQL. PHP selbst parst ja viele Zeichen aus, maskiert sie also für den Mysql Server. In dem Heise Artikel war konkret von ASP und MSSQL die Rede. Abgesehen von BufferOverflows habe ich hinsichtlich von PHP + MySQL noch nichts zu diesem konkreten Problem gehört oder gelesen. Ich wollte hier nur ein mögliches Gefahrenpotential sondieren.
Also 1. Stimme: Alles halb so wild ... :roll:
User avatar
kvo
Apache Friends
 
Posts: 184
Joined: 24. January 2003 14:03
Location: Berlin

Postby Stefan » 28. May 2004 08:46

2. Stimme,
Gerade vor kurzem, wurde eine Lücke im Nuke oder postNuke Modul My_Gallerie bei einem User im Rootforum dazu ausgenutzt den Server zu übernehmen. Grund für die Angriffsmöglichkeit war hier ebenfalls das mangelhafte überprüfen der GET Parameter.
Ich würde jetzt mal einfach so behaupten, das die Sicherheit bzw. Angriffsmöglichkeiten mit dem Verantwortungsbewußtsein respektive der Ernsthaftigkeit des Schreibers steht und fällt.
Also auch von mir ein "halb so wild".
User avatar
Stefan
 
Posts: 475
Joined: 26. December 2002 22:36
Location: Mitten in der sonnigen Südpfalz


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 9 guests