mySQL INJECTIE probleem info

Status
Niet open voor verdere reacties.
K

kenikavanbis

Terugkerende gebruiker
Lid geworden
22 mei 2007
Berichten
2.120
Best mensen,

afgelopen tijd is mijn site aangevallen met sql injectie het is beveiligt maar ik weet niet hoelang mijn site stand houd
de laaste werd er een "& l a n g = N L ' a = 0" (toegevoegd aan de url zonder spaties)

het lijkt me niet erg logisch maar kunnen jullie kijken of dit bij jullie schadelijke effecten heeft.

het is laaste maand al meerdere keren voorgekomen.Er zal helaas niet veel aan te doen zijn maar ik laat het jullie toch weten
 
Dit is geen SQL injectie want dit kun je niet in een query zetten om hem te veranderen naar iets werkends.

SQL injectie is kinderlijk eenvoudig uit te schakelen door *alle* waarden die je in je query zet *altijd* tussen quotes te zetten en te laten escapen door MySQL zelf.
Nog beter is om prepared statements te gebruiken.
 
PgVincent zei:
...
Klik om te vergroten...
dat kinderlijk eenvoudig zou ik toch nuaceren (en nu enkel voor mensen die echt weten waarover het gaat)iedereen die vindt dat hij te weinig kennis onderstaande te begrijpen geen reacties plaatsen
om er voor te zorgen dat de code niet op het forum in werkt zal ik deze splitsen in delen of met aanpassing werken "s3l3ct c0ncat" = select concat
Code: 
s3l3ct c0ncat(0x7e,0x27,database(),0x27,0x7e)
Code: 
s3l3ct c0ncat(0x7e,0x27,unhex(Hex(cast(database() as char))),0x27,0x7e))
wat zijn de gevaaren van dit deel omdat ik het niet onmiddelijk zie het betreft groter querys maar dit zijn delen ervan
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan