Sicherheitslücke
Posted: 19 Aug 2008, 05:16
Hi! Ich weiß nicht, ob dies der beste Platz ist, euch das mitzuteilen, aber ich wuesste nicht, wo sonst ich euch erreichen kann...
Stichwort: SQL-Injektion!!
Gebt mal unter http://trashmail.net/ eine Email Adresse mit diesem ' Zeichen ein. Sofort tritt ein Fehler auf.
Mit speziellen Anfragen kann ein Boesewicht dann eure Datenbank manipulieren, oder im schlimmsten Falle sogar euren Server uebernehmen!
Ihr macht es dem Angreifer sogar besonders leicht, da noch zusaetzlich die Fehlermeldung eingeblendet wird!
Mehr Infos dazu gibt euch Wikipedia. http://de.wikipedia.org/wiki/SQL-Injektion
Ihr koennt euch ganz einfach schuetzen, indem ihr Anfragen mit mysql_real_escape_string() behandel. Mehr Info's hier:
http://de.php.net/manual/de/function.my ... string.php
Ich hoffe ich konnte euch helfen!!
Gruss
euer Bugreporter
Stichwort: SQL-Injektion!!
Gebt mal unter http://trashmail.net/ eine Email Adresse mit diesem ' Zeichen ein. Sofort tritt ein Fehler auf.
Mit speziellen Anfragen kann ein Boesewicht dann eure Datenbank manipulieren, oder im schlimmsten Falle sogar euren Server uebernehmen!
Ihr macht es dem Angreifer sogar besonders leicht, da noch zusaetzlich die Fehlermeldung eingeblendet wird!
Mehr Infos dazu gibt euch Wikipedia. http://de.wikipedia.org/wiki/SQL-Injektion
Ihr koennt euch ganz einfach schuetzen, indem ihr Anfragen mit mysql_real_escape_string() behandel. Mehr Info's hier:
http://de.php.net/manual/de/function.my ... string.php
Ich hoffe ich konnte euch helfen!!
Gruss
euer Bugreporter