Fehler ausnutzen

[smaster100]

Hallo @ all

Ich arbeit zur Zeit gerade an einer Site, und habe micht gefragt, ob man zB. über das Forum mit bestimmten Befehlen an die Database glangen kann??? ist so was überhaupt möglich?
Die Site ist in PHP geschrieben.

 

[metax.]

Ja!
Gerade unsichere PHP-Konfigurationen und unsicher geschriebene PHP-Software sind die häufigsten Ursachen für unberechtigte Zugriffe. Das Risiko kannst du nur minimieren, aber nie ganz ausschließen, da bekanntlich jede nichttriviale Software Bugs hat.
Und gerade PHP ist sehr anfällig gegen Crackerangriffe, wenn es unsicher (= bequem) konfiguriert ist.

Natürlich gibt es keine "Spezialbefehle" mit denem man jede PHP-Seite knacken kann. Ein unberechtigter Zugriff kann nur über Sicherheitslücken in PHP oder der PHP-Software erfolgen, welche der Angreifer kennen muss. Das heißt, solange du keine sicherheitstechnischen Scheunentore wie ungeprüfte Benutzereingaben, uninitialisierte Variablen oder ähnliches in deiner Software hast und regelmäßig PHP-Sicherheitspatches installierst, solltest du relativ sicher sein. 100% sicher geht natürlich nie.

mfg, metax.

 

[smaster100]

Ok vielen Dank. Das wollte ich wissen...
Merci!

 

[rami]

Noch einen informativen Link zum Thema:

http://de.wikipedia.org/wiki/SQL-Injection