SQL Injections
|
Hvor meget tænker I over SQL Injections? :-) Er I klar over, at det faktisk ikke kun er databasen, som man kan pille ved via. Injections? Har siddet og leget med en side jeg fik lov til, og det lykkedes mig, at gå ind og replace adskillelige filer på hans server via. SQL Injections. nikolaj out |
|
| Tænker over det nok til simpelt hen af gøre dem umuglige ved at parse alt bruger input. :p |
Oprettet af:
 Kommentar |
|
Tænker over det på det led, at man skal ikke kunne få adgang til det postede input. Derfor bruger jeg vel forskellige former for sikkerhed, mysql escape strings og lign. Har stadig ingen forstand på SQL Injection så jeg gør sgu bare som jeg læser omkring sikkerhed og håber derefter det er iorden! :-) |
Oprettet af:
Kommentar |
|
Hvad med XSS? Har i prøvet at få nogle af jeres websites hacket? |
Oprettet af:
Kommentar |
| <joke>Jeg tænker aldrig på sikkerheden. Ligesom ude i bilen; sele og airbag er for dummies.</joke> |
Oprettet af:
Kommentar |
|
mho skrev kl. 17:52 d. 06/01/2010 <joke>Jeg tænker aldrig på sikkerheden. Ligesom ude i bilen; sele og airbag er for dummies.</joke> Enten har jeg (eller du) dårlig humor, eller også forstod jeg ikke din lille... "joke" :b |
Oprettet af:
Kommentar |
| Hørt om ironi? Det skulle være noget af det nyeste.. :) |
Oprettet af:
Kommentar |
|
LoyaL skrev kl. 21:19 d. 06/01/2010 Hørt om ironi? Det skulle være noget af det nyeste.. :) Ti stille :b Jeg fortstår det jo godt... men jeg kan ikke se det sjove i det? |
Oprettet af:
Kommentar |
|
Haha .. Det sjove er at Nikolaj (tror jeg!) spørger om emnet, fordi mange lægger hjernen udenfor når de laver deres små brugersystemer osv. Hurtigt og friskt eksempel.. "Jaja jeg bruger $hej = mysql_real_escape_string($global); .. .. .. Men længere nede i koden requester jeg nogle felter fra min database, hvor f.eks brugernavn er lig med $session (altså uden sikkerhed). Jeg ved det ikke.. Jeg jokede bare, fordi jeg mener det bør være en selvfølge at smide sikkerhed på alle felter, som udefrakommende kan deltage til at udfylde. Mjaeh sådan er vi jo så forskellige. :-) MEN undskyld EMIIIIIIL ;-)[b][/b] Sidst redigeret 21:38 06/01/2010 |
Oprettet af:
Kommentar |
| Er så dårlig til det der med sikkerhed. Laver det altid til sidst. |
Oprettet af:
Kommentar |
|
mho skrev kl. 21:36 d. 06/01/2010 Haha .. Det sjove er at Nikolaj (tror jeg!) spørger om emnet, fordi mange lægger hjernen udenfor når de laver deres små brugersystemer osv. Var lige så meget for at gøre opmærksom på, at det kan være skide farligt :)Hurtigt og friskt eksempel.. "Jaja jeg bruger $hej = mysql_real_escape_string($global); .. .. .. Men længere nede i koden requester jeg nogle felter fra min database, hvor f.eks brugernavn er lig med $session (altså uden sikkerhed). Jeg ved det ikke.. Jeg jokede bare, fordi jeg mener det bør være en selvfølge at smide sikkerhed på alle felter, som udefrakommende kan deltage til at udfylde. Mjaeh sådan er vi jo så forskellige. :-) MEN undskyld EMIIIIIIL ;-)[b][/b] |
Oprettet af:
Kommentar |
|
Ah farligt er vel så meget sagt/skrevet. Det bliver måske bare ikke sundt i et velfungerende website. :-) >> Nikolaj jeg har din ip-adresse og bliver nødt til at banne hele lortet på alt og alle websites jeg har "kontrol" over. Hvis du skal unbannes koster det fandme 3-4 store fadbamser! :-) |
Oprettet af:
Kommentar |
|
mho skrev kl. 22:16 d. 06/01/2010 Ah farligt er vel så meget sagt/skrevet. Det bliver måske bare ikke sundt i et velfungerende website. :-) Det er som man tager det :-D Hvis man kan replace filer, så synes jeg det er farligt :-Dmho skrev kl. 22:16 d. 06/01/2010 >> Nikolaj jeg har din ip-adresse og bliver nødt til at banne hele lortet på alt og alle websites jeg har "kontrol" over. Hvis du skal unbannes koster det fandme 3-4 store fadbamser! :-) AAAAARRHG Det er er 28 * 4 <=> Politi : o ) Det må da betyde et eller andet |
Oprettet af:
Kommentar |
|
mho skrev kl. 22:16 d. 06/01/2010 Ah farligt er vel så meget sagt/skrevet. Det bliver måske bare ikke sundt i et velfungerende website. :-) SQL injections er sgu ikke at kimse ad - det er utroligt vigtigt at beskytte sig imod dem.>> Nikolaj jeg har din ip-adresse og bliver nødt til at banne hele lortet på alt og alle websites jeg har "kontrol" over. Hvis du skal unbannes koster det fandme 3-4 store fadbamser! :-) Som Nikolaj påpeger kan du komme til at arbejde direkte på serveren uden for databasen. Der findes andre SQL injections end bare ' OR 1=1-- ;) |
Oprettet af:
Kommentar |
| Jo tænker da på det, sikrer da hvert et input jeg har. |
Oprettet af:
Kommentar |
| Jeg tænker på det, eller det er jeg begyndt på. Kendte ikke til det, indtil jeg blev gjort opmærksom på det. Så nu gør jeg, ligeledes ddos attacks |
Oprettet af:
Kommentar |