SQL Injection
-
Nein ich will damit kein scheiss bauen.
Hallo ich hab mal was von SQL Injections gehört und das Thema hat mich interessiert daher hab ich mir mal bei Funpic einen Server geholt.
Auf mil0worm.com habe ich da ein Tutorial dazu gefunden.
Als erstes soll man da ja gucken ob dort eine Sicherheitslücke ist.
Dort steht nun:
1). Check for vulnerability
Let's say that we have some site like this
http://www.site.com/news.php?id=5
Now to test if is vulrnable we add to the end of url ' (quote),
and that would be http://www.site.com/news.php?id=5'
so if we get some error like
"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right etc..."
or something similarthat means is vulrnable to sql injection
Das hab ich auch gemacht und so bei 3ten versuch bekamm ich einen SQL Fehlermeldung ( ich hab es extra öfters probiert ^^ )
Aber nun bekomm ich keine mehr gibt es dafür vielleicht eine erklärung
-
Entweder greifst du auf eine gecachte Version der Seite ohne PHP Fehler zu, oder die Sicherheitslücke wurde inzwischen geschlossen. Ich würde es nicht weiter verfolgen, bei der jetzigen Rechtslage würde es mich nicht wundern, wenn du dich durch deine Versuche strafbar gemacht hast.
-
Bei jedem 2ten versuch kommt die SQL Fehlermeldung XD
Aber das ist doch mein Server wieso is das dann Strafbar o_O
Oder kann ich mir irgendwie selber einen auf meinem PC machen also ein Server der dann nur im Lan geht dann kann ich ja daran rum experimentieren.
-
Hallo,
probier es doch mal mit XAMPP. Da hast du alles dabei: Apache,PHP,MySQL etc.!
Wenn alles geklappt hat, hast du auf deinem PC eine perfekte Testumgebung und kannst problemlos auf "Fehlersuche" gehen
-
was hat dies mit SQL-Injections zu tun.
Wenn du eine URL hast wie
www.irgendwas.de/index.php?username=deiner
und daraus eine SQL-Query machst
SELECT * FROM user WHERE username = 'deiner'
dann ist eine SQL--Injection möglich.Man könnte da ja auch schreiben
www.irgendwas.de/index.php?username=deiner';DELETE FROM user
und daraus wird
SELECT * FROM user WHERE username = 'deiner';DELETE FROM user'das sind dann 2 Querys.
-
ok thx dann werd ich mir mal XAMPP runterladen.