Hallo zusammen,
ich versuche mich gerade in einer Live-Demo einer SQL-Injection per PHP / MySQL. Da gibt es ja auch in der deutschen PHP-Doku ein schönes Beispiel zu: http://de2.php.net/manual/de/security.d ... ection.php
Nur habe ich den Eindruck, dass das Beispiel unter MySQL garnicht gehen kann, da MySQL nicht mehrere Befehle hintereinander erlaubt. Kann mir das jemand bestätigen oder andere Hinweise geben?
Gruß, Philipp
SQL Injections
SQL Injections
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
das beispiel ist imho in der tat blech - siehe auch die kommentare dazu.
die 'typischen' mysql-injections arbeiten bei SELECT clauses mit dem UNION statement um weitere informationen aus der db auszulesen - insbesondere interessant wenn das via INTO OUTPUTFILE in ein beschreibbares verzeichnis geschrieben wird. falls die applikation php-styled text in datenbankfeldern zulässt kann man damit als blind upload eine remote code injection provozieren.
die 'typischen' mysql-injections arbeiten bei SELECT clauses mit dem UNION statement um weitere informationen aus der db auszulesen - insbesondere interessant wenn das via INTO OUTPUTFILE in ein beschreibbares verzeichnis geschrieben wird. falls die applikation php-styled text in datenbankfeldern zulässt kann man damit als blind upload eine remote code injection provozieren.
Danke für die Antwort. Das wird dann aber für die PHP-Einsteiger etwas zu komplex - jetzt gibt's nur ein manipuliertes Insert, das einen Admin-User anlegt 
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
