Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Themen

Sicherheit von MySQL DB

Gast BadLord
Gast BadLord
in Datenbanken

Empfohlene Antworten

Veröffentlicht

Hallo erstmals bin hier neu :-)

Kleine Frage ich will ein Hackit programmieren.

Da sollte es dann möglich sein mit

'or 1=1 --

sich einzuloggen. Nun habe ich 2 Forms gebastelt die senden einem login.php script die eingegeben Daten.

Gebe ich nun eben 'or 1=1 -- ein so wird dies nicht ausgeführt, nein es steht folgendes da (wenn ich ein echo mache)

/'or 1=1 --

Die Datenbank muss also einen Schutz haben?

Ich benutze Xampp die neuste Version und habe mit PHPmyAdmin die DB erstellt.

Frage:

Wie kann ich diesen Schutz ausschalten?

LG und Danke

ích versteh nur bahnhof; kannst du die relevanten codezeilen posten?

s'Amstel

Gebe ich nun eben 'or 1=1 -- ein so wird dies nicht ausgeführt, nein es steht folgendes da (wenn ich ein echo mache)

/'or 1=1 --

[...]

Frage:

Wie kann ich diesen Schutz ausschalten?

Entweder mit

set_magic_quotes_runtime(0);

in deinem Code (schaltet magic quotes in dem Script aus)

oder


php_flag magic_quotes_gpc off

in der .htaccess (schaltet sie für alle Scripte in dem Ordner, oder darunter, aus)

Frage:

Wie kann ich diesen Schutz ausschalten?

Wieso willst du einen Schutzmechanismus ausschalten?

Wieso willst du einen Schutzmechanismus ausschalten?

Weil er ja in dem Fall will, dass man diese Unsicherheit ausnutzen kann.

EDIT:

Du kennst doch bestimmt die Seiten, wo du dich irgendwie "einhacken" musst um zur nächsten Seite zu gelangen. Sowas will er ja machen.

Achso, ja, die lustigen Seiten, bei denen man "Input Overflows" verursacht und diese dann den PHP Quellcode ausgeben in welchem Username und Passwort stehen :D

Vergiss aber nicht, das du mehr als nur 1=1 eingeben kannst, daher solltest du eine zusätzliche Abfrage auf das eingebene machen, so das keine weiteren, richtig schädlichen, SQL Statements eingegeben werden können.

Ich würd eh lieber anders herum an sowas gehen. Nicht Sicherheitsmechanismen deaktivieren um echtes Hacken zu ermöglichen, sondern die Sicherheit bestehen lassen und ein "fake" Hacken ermöglichen, indem du die Eingaben überprüfst und anhand dieser entscheidest, ob der Angreifer durchkommt oder nicht.

OK, ist zwar mehr Arbeit, aber bevor sich jemand dann dein System unter den Nagel reist, weil du einen Mechanismus zuviel deaktiviert hast ;)

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.