Frage zu SQL Fehlermeldung



  • Hallo ich hab auf der Homepage eines bekannten folgendes festgestellt:

    Wenn ich so etwas auf der Homepage eingebe www.site.com/?id=' und dann enter drücke komm ich auf eine andere Seite seiner Homepage wenn ich jedoch jetzt einen

    Link auf seiner Homepage anklicke bekomme ich folgende Fehlermeldung:

    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Opera 9.80','','2010-11-13','19:53:06')' at line 1

    Bedeutet dies jetzt etwa das seine Homepage auf SQL Injections anfällig ist ?

    Ich habe leider von so SQL Sachen nicht viel Ahnung deshalb frage ich jetzt hier nochmal.

    ( Meiner Meinung nach ist die Homepage anfällig. )



  • Ob er für SQL-Injections anfällig ist, lässt sich an der Fehlermeldung nicht erkennen. Vielmehr sollter er erstmal dafür sorgen, dass die Fehlermeldungen nicht direkt auf der Seite angezeigt werden.

    Stichworte "error_reporting" und "display_errors" aus der php.ini mal genauer anschauen.
    Die Fehler beim simplen herumklicken sollten aber trotzdem behoben werden.



  • Naja ich wollte Ihn darüber Informieren was soll ich Ihm denn da schreiben ?

    Ich beschäftige mich atm mehr so mit Buffer Overflows und so aber von Web Sachen hab ich noch keine Ahnung. ^^



  • 😃 Zunächst solltest du ihn über deine Vorgehensweise informieren und auf die Fehler hinweisen, die da auf der Seite erscheinen.

    Deutet etwas auf SQL-Injection hin, so sollte dein Bekannter in der Lage sein, nach PHP / Mysql und SQL-Injection zu suchen.
    Desweiteren dürften dann wohl weit mehr Sicherheitslücken vorhanden sein.

    Zum Thema Web und Sicherheit sollte die seite der OWASP ein guter Anfang sein.

    http://www.owasp.org/index.php/Main_Page
    http://www.owasp.org/index.php/Top_10_2010-Main


Log in to reply