[HaBo]

Xalon · 24.01.06, 18:16

Hi,
ich wollt mich mal mehr mit SQL Injections auseinandersetzen und hab folgendes Script geschrieben und bei funpic raufgeladen:

Code:

<html>
<body>

<?php
   mysql_connect("localhost","blablabla","********");
   mysql_select_db("datenbank_01");

 
 /* SQL-Abfrage ausführen */
   $res = mysql_query("select * from personen WHERE name='$name_in'");

   /* Anzahl Datensätze ermitteln und ausgeben */
   $num = mysql_num_rows($res);
   echo "$num Datensätze gefunden<br>";

   /* Datensätze aus Ergebnis ermitteln, */
   /* in Array speichern und ausgeben    */
     while ($dsatz = mysql_fetch_assoc($res))
   {
      echo $dsatz["id"] . ", "
         . $dsatz["name"] . ", "
         . $dsatz["gehalt"] . ", "
         . $dsatz["typ"] . "<br>";
   }
?>

</body>
</html>

Ok,wenn ich jetzt einen Namen in name_in übergebe dann funzt das auch..
Aber wenn ich

Code:

x' OR '1'='1

übergebe sollten doch eigentlich ALLE Beiträge kommen,aber nix :(

Code:

0 Datensätze gefunden

Was mach ich falsch?

Danke im voraus,
Xalon

crystal · 24.01.06, 21:28

bei mir funzt der code so (mit geringfügigen abänderungen wegen meiner DB-struktur)...

ändere mal die zehnte zeile so um:

Code:

$res = mysql_query("select * from personen WHERE name='$name_in'") OR die(mysql_error());

und sag uns, ob und welche fehler er ausspuckt.

cYa

Anzeige

- Anzeige -

ivegotmail · 24.01.06, 22:46

ich würde mal darauf tippen, dass gar kein sql injection möglich ist, weil magic_quotes_gpc aktiviert ist.
lässt dir mal mit phpinfo() die config ausgeben, dann kannst du das überprüfen.

crystal · 24.01.06, 23:28

aber wenn er den wert der variable $name_in garnicht mit GET oder POST übermittelt, dann hat magic_quotes_gpc ja garkeinen effekt

phpinfo() bei funpic: http://send0r.se.funpic.de/x.php

cYa

ivegotmail · 25.01.06, 00:06

Zitat:

Original von crystal
aber wenn er den wert der variable $name_in garnicht mit GET oder POST übermittelt, dann hat magic_quotes_gpc ja garkeinen effekt

na ich geh mal davon aus, dass er $name_in über GET/POST übermittelt wie es bei sql injection üblich ist.

Zitat:

Original von crystal
phpinfo() bei funpic: http://send0r.se.funpic.de/x.php

magic_quotes_gpc = On
d.h. kein sql injection möglich.

crystal · 25.01.06, 07:11

naja, er kann sich das ja aber simulieren; damit meine ich, dass er $name_in in der datei selbst definiert.
z.b. mit dem wert ' OR '1'='1...
dann kann man sich ja vorstellen, dass man das per formular getan hat

cYa

Xalon · 25.01.06, 16:47

Zitat:

Original von ivegotmail

Zitat:

Original von crystal
aber wenn er den wert der variable $name_in garnicht mit GET oder POST übermittelt, dann hat magic_quotes_gpc ja garkeinen effekt

na ich geh mal davon aus, dass er $name_in über GET/POST übermittelt wie es bei sql injection üblich ist.

Zitat:

Original von crystal
phpinfo() bei funpic: http://send0r.se.funpic.de/x.php

magic_quotes_gpc = On
d.h. kein sql injection möglich.

Ok,danke euch,das sagt alles :'(
Was bewirkt dieses magic_quote (oder so

) eigentlich noch?

Xalon

ivegotmail · 25.01.06, 17:35

Zitat:

magic_quotes_gpc boolean

Legt die magic_quotes Einstellungen für GPC (Get/Post/Cookie) fest. Ist diese Einstellung auf on, werden alle ' (einzelne Anführungszeichen), " (doppelte Anführungszeichen), \ (Backslash) und NUL's automatisch mit einem Backslash geschützt.

quelle: http://php3.de/manual/de/ref.info.php

Xalon · 27.01.06, 21:04

Ok Danke,und das kann man nicht irgendwie umgehen,oder?

Xalon

ivegotmail · 27.01.06, 23:16

es gibt im prinzip 3 möglichkeiten dies einzustellen:
siehe http://www.php-faq.de/q/q-magic-quotes.html

1. globale konfiguration in der php.ini (da kommst du aber bei funpic nicht ran, sondern nur die server admins)
2. lokale konfiguration (für bestimmte ordner) über .htaccess oder httpd.conf: php_value magic_quotes_gpc "0"
3. konfiguration direkt im php script über die funktion ini_set(): ini_set("magic_quotes_gpc",0);
funktioniert aber nicht weil ini_set() bei funpic aus sicherheitsgründen unter disable_functions gelistet ist.

also könntest du mal 2. ausprobieren. erstell in dem ordner wo das script liegt die datei ".htaccess" mit dem inhalt: php_value magic_quotes_gpc "0"
vielleicht klappt das ... was ich aber bezweifle.

lad dir am besten den ganz einfach zu nutzenden webserver xampp runter und stell in der datei xampp/apache/bin/php.ini magic_quotes_gpc auf Off. dann kannst du sql injection bei dir lokal auf m rechner testen.
http://www.apachefriends.org/de/xampp.html

Xalon · 28.01.06, 17:43

Nein ich mein bie anderen

Xalon

ivegotmail · 28.01.06, 18:04

nochmal im klartext bitte. was meinst du?

Xalon · 29.01.06, 09:31

Na wenn ich die Einstellung nicht verändern kann weil ich keinen Schreibenden zugriff auf den Space hab

Xalon

ivegotmail · 29.01.06, 13:22

? sind jetzt noch unklarheiten oder nicht? wenn ja, formuliere deine FRAGE bitte verständlich und etwas AUSFÜHRLICHER.

Xalon · 29.01.06, 13:59

Na wie du meinst xD
Also kann ich trotz diesen addslashes bei " und co. SQL Injection machen auch wenn ich es NICHT abstellen kann?

Xalon

Anzeige

- Anzeige -

24.01.06, 21:28	#2 (permalink)
crystal Registriert seit: 02.08.05 Likes: 0	bei mir funzt der code so (mit geringfügigen abänderungen wegen meiner DB-struktur)... ändere mal die zehnte zeile so um: Code: $res = mysql_query("select * from personen WHERE name='$name_in'") OR die(mysql_error()); und sag uns, ob und welche fehler er ausspuckt. cYa

24.01.06, 22:46	#3 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	ich würde mal darauf tippen, dass gar kein sql injection möglich ist, weil magic_quotes_gpc aktiviert ist. lässt dir mal mit phpinfo() die config ausgeben, dann kannst du das überprüfen. __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

27.01.06, 23:16	#10 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	es gibt im prinzip 3 möglichkeiten dies einzustellen: siehe http://www.php-faq.de/q/q-magic-quotes.html 1. globale konfiguration in der php.ini (da kommst du aber bei funpic nicht ran, sondern nur die server admins) 2. lokale konfiguration (für bestimmte ordner) über .htaccess oder httpd.conf: php_value magic_quotes_gpc "0" 3. konfiguration direkt im php script über die funktion ini_set(): ini_set("magic_quotes_gpc",0); funktioniert aber nicht weil ini_set() bei funpic aus sicherheitsgründen unter disable_functions gelistet ist. also könntest du mal 2. ausprobieren. erstell in dem ordner wo das script liegt die datei ".htaccess" mit dem inhalt: php_value magic_quotes_gpc "0" vielleicht klappt das ... was ich aber bezweifle. lad dir am besten den ganz einfach zu nutzenden webserver xampp runter und stell in der datei xampp/apache/bin/php.ini magic_quotes_gpc auf Off. dann kannst du sql injection bei dir lokal auf m rechner testen. http://www.apachefriends.org/de/xampp.html __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

28.01.06, 18:04	#12 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	nochmal im klartext bitte. was meinst du? __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

29.01.06, 13:22	#14 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	? sind jetzt noch unklarheiten oder nicht? wenn ja, formuliere deine FRAGE bitte verständlich und etwas AUSFÜHRLICHER. __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

24.01.06, 23:28	#4 (permalink)
crystal Registriert seit: 02.08.05 Likes: 0	aber wenn er den wert der variable $name_in garnicht mit GET oder POST übermittelt, dann hat magic_quotes_gpc ja garkeinen effekt phpinfo() bei funpic: http://send0r.se.funpic.de/x.php cYa

25.01.06, 07:11	#6 (permalink)
crystal Registriert seit: 02.08.05 Likes: 0	naja, er kann sich das ja aber simulieren; damit meine ich, dass er $name_in in der datei selbst definiert. z.b. mit dem wert ' OR '1'='1... dann kann man sich ja vorstellen, dass man das per formular getan hat cYa

27.01.06, 21:04	#9 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Ok Danke,und das kann man nicht irgendwie umgehen,oder? Xalon

28.01.06, 17:43	#11 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Nein ich mein bie anderen Xalon

29.01.06, 09:31	#13 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Na wenn ich die Einstellung nicht verändern kann weil ich keinen Schreibenden zugriff auf den Space hab Xalon

29.01.06, 13:59	#15 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Na wie du meinst xD Also kann ich trotz diesen addslashes bei " und co. SQL Injection machen auch wenn ich es NICHT abstellen kann? Xalon

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Warum funktionier folgendes Skript nicht?	NMK	(Web-) Design und webbasierte Sprachen	7	29.05.06 18:21
Warum Apple nicht teuer ist	non	Mac OS & Co.	31	17.04.06 12:53
geht die site? wenn ja warum bei mir nicht?	yakuza	Internet Allgemein	14	15.09.04 17:09
Warum kann ich manche Internetseiten nicht sehen	Pictro	Internet Allgemein	5	01.10.03 14:13
Warum komm ich nicht mehr in den chat?	Teeks	Hackerboard.de-Feedback	22	25.08.03 06:35

[HaBo]

SQL Injection will nicht.Warum?