title image


Smiley Re: SQL-Injection -klappt sowas?
oder muss x ein gültiges Datenfeld sein?



Natürlich muss es das! Sonst gibt es lediglich eine Fehlermeldung.



Wie wäre es mit 1='1' ?



In etwa, wenn die Syntax beim Einsetzen korrekt wäre, wenn z.B. etwas wie:



WHERE username = '' OR 1='1'



herauskommt, dann bekommt man alle Sätze zurück statt nur einen. Das Programm sollte dann z.B. prüfen, ob wirklich nur ein Satz zurückkommt, wenn nur einer erwartet wurde!



Wenn das beides nicht geht, muss man also IMMER (wenigstens etwas) Ahnung von der Tabellenstruktur haben?



Besser wäre es, um Angriffe zu gestalten. Aber man kann so einiges auch ausspionieren, vor allem dann, wenn die Anwendung bei Fehlern ebendiese ausgibt, so dass auch der Angreifer sie lesen kann. In vielen Fehlermeldungen stehen nämlich Tabellen- und Feldnamen drin... Siehe hier, hier und hier.

Meine Microsite || SQL-Tips.de || D-3 (2007/08) / AI-29 (2006)


geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: