Mysql injectie steeds

JonasRetro · 25 jul 2014

Hallo mensen
Mijn vriend zijn fansite word heel vaak gehacked
Ze veranderen pw door Mysql injectie
En dan Hacked, en linken ze door naar hun eigen site
Dus ik wil er graag wat over leren
zeker hoe je dit kan fixen
en ook een beetje hoe dit werkt want dan kan ik het testen op alle pagina's van zijn site
en zo overal proberen oplossen

ik denk dat het via nieuws is
http://*****/index.php?url=news&id=5
De kolum die ze hacken is users
Hoe doen ze dat dan en hoe kan ik het fixen?
heb ff url onduidelijk gemaakt want stel dat iemand dit leest en weer hackt
Zeg me wat je nodig hebt bv news.php file

Dylanh · 25 jul 2014

Zeker een Retro Hotel?

Gebruik mysqli_real_escape_string()

JonasRetro · 25 jul 2014

Hij heeft een CMS geidt van RH to fansite
want hij moet zelf niet veel weten van Retro's
Even proberen

Ps: Hij heeft Mysql hij zal wel editen

Bedankt voor je reactie

JonasRetro · 25 jul 2014

Hij vraagt mij nu ofdat die mysql_fetch_object() moet changen naar mysql_real_escape_string()

Hier zijn nieuws.php file
Bekijk bijlage Nieuws.zip

Dit is met exploit scanner gescant
(Hij heeft RevCMS geidt to zijn fansiteCMS

)

Divium1145 · 26 jul 2014

Goedenavond,

Als ik de code even zo snel bekijk zie ik weinig tot geen beveiliging. Ik raad het jullie sterk aan
om de beveiliging van mysql databases te bestuderen. Waar ik zelf heel veel aan heb gehad is
deze website http://www.greensql.com/content/mysql-security-best-practices-hardening-mysql-tips & http://php.net/manual/en/security.database.sql-injection.php
Ik hoop dat jullie hier wat aan hebben!

mvg, Kevin

JonasRetro · 26 jul 2014

bedankt voor je reactie
ik stuur het ff door naar hem

--------------------------
Edit hij reageerde:

Sorry maar dat begrijp ik niet echt
Maar ik wil alleen de exploit fixen

Divium1145 · 26 jul 2014

Als hij het beveiliging lek wil dichten zal hij echt moeten leren hoe dat moet. Daarom de twee links ook. Daar kan hij in lezen hoe hij dat kan doen.

kenikavanbis · 28 jul 2014

kunnen we eens afspreken op de chat breng in kaart hoeveel variabelen je ongeveer kan hebben op scripts die ze best niet bereiken

bekijk dit al eens voor je htaccess let op bij mij is het een bestand dat je globaal op verschillende domeinen kan gebruiken dus werk ook op je subs indien je deze naar dezelfde stuurt nu mogelijks moet je aanpassingen doen

Code:

RewriteRule ^([A-Za-z0-9\.]+)/([A-Za-z0-9]+)/$ $1/index.php?pad=$2

bovenstaande code zal hinderen bij get en zo je systeem beveiligen zo kan je zelf de toegelaten chars bepalen let op voor img

ps om hulp te krijgen had ik op out of range iets meer comentaar gehad omdat het niet zo moeilijke zou moeten zijn fair is fair

JonasRetro · 4 aug 2014

Bedankt voor je bericht en Sorry mijn late reactie
Hij heeft IIS, dus geen .htcasses
IIS heeft web.config
Dat op de chat is een goed ideee

Mysql injectie steeds

JonasRetro

Gebruiker

Dylanh

Gebruiker

JonasRetro

Gebruiker

JonasRetro

Gebruiker

Divium1145

Gebruiker

JonasRetro

Gebruiker

Divium1145

Gebruiker

kenikavanbis

Terugkerende gebruiker

JonasRetro

Gebruiker

Nieuwste berichten

Wij waarderen jouw privacy