SolSoCoG wrote:so kriegt man seine beitragszahl auch hochgepusht...
Auch wenn die Äusserung sicherlich sehr einsilbig von ~Nobbie~ war, so trifft diese genau den Kopf des Nagels.
Als der Begriff "SQL Injection" durch --> alle <-- Medienbereiche durchging wurden Lösungen erarbeitet und Publik gemacht.
Wer also sich an dieser Stelle nicht darum gekümmert hat und Programmiertechnisch weiter ohne diese Lösungzweige Arbeitet sollte sich nicht wundern wenn soetwas passiert.
Daher schonmal die fragen an Dich:
- hast du MySQL abgesichert ?
- hast Du die php.ini restricktionen eingeschaltet die solche Injections vorab erschweren?
- hast Du deine Codezeilen den Restriktionen entsprechend geändert ?
Ich denke das diese Fragen hiermit perse mit "Nein" beantwortet werden müssen, denn sonst wäre es ja nicht passiert.
Solltest Du Programmanwendungen benutzen die unter den Restriktionen nicht ihre Arbeit machen, so wäre sicherlich ein Offener Brief an die Autoren (also deren Support Foren) angebracht.
XAMMP ist und bleibt in seiner Grundinstallation weiterhin ein Offenes System das diese Restriktionen nicht anwendet, wer also XAMPP ohne weiterführende Kenntnisse "einfach so benutzt" darf sich nicht wundern.
Willst Du alles "Sicher" machen, so musst du zum einen alles selber Installieren und die Compilierungen der Komponenten gemäss der Sicherheits Warnungen durchführen.
Erst dann kannst Du als Anbieter von WebContent davon ausgehen das Deine Produkte und Restriktionskonforme Fremdanwendungen Dir ein sicheres gefühl geben.
Zudem kommt es auch auf die "Fragestellung" an, denn ohne zu wissen was bei Dir läuft, welche Applikation das Sicherheitsloch hat und wie Du XAMPP benutzt ist es von vorherein schwierig zu helfen.
Es geht hier auch nicht darum alle Deine "Code" Gehemnisse zu kennen, nur ohen Informationen ist es nicht möglich da zu helfen.
Selbst der Hinweiss von ~Stepke-DSL~ ist nur ein versuch überhaupt einen Ansatz zu bekommen von Dir Informationen zu erhalten.
http://de.wikipedia.org/wiki/SQL-Injection
http://www.heise.de/security/Microsoft- ... ung/109937
http://www.heise.de/security/Giftspritz ... ikel/43175
http://www.heise.de/security/SQL-Inject ... ung/102347
http://www.heise.de/suche?q=sql-injecti ... &rm=search
-EDIT-
PS:
Und ja..ich nutze auch nocht risikoreiche Applikationen, aber das wissen darüber reicht mir zu entscheiden ob ich diese weiterhin nutze und oder mich anderwertig umsehe oder auch Geld für "Sichere" Applikationen kaufe.
Und jaa.. ich habe für solche Applikationen eigene SubDomains und eigene MySQL Berechtigungen und nehme nicht denn von XAMPP erstellten MySQL-ROOT zugang nur weil dieser alles bietet und vieles Vereinfacht.
Wenn einer Injectet dann ist nur eine Applikation betroffen und das ist dann meine Schuld.