tionsys.de - Anonymität & Sicherheit

Opa_Schlumpf · 1. März 2012

SQL-Injections

Habe das bedenken das man eventuell auch Variablen eines PHP Scripts auslesen kann und das wäre gegebenenfalls nicht so gut...

Tion · 1. März 2012

Ich kann mich morgens an eines setzen

Mir ist noch keine Möglichkeit bekannt, in einer SQL-Query Scriptvariablen auszulesen. Gut möglich, mir leider nicht bekannt

Opa_Schlumpf · 2. März 2012

Und wie sieht es aus,
das eventuell normale Variablen eines Scripts ausgelesen werden?

Deuce · 2. März 2012

Zitat von Opa_Schlumpf

Und wie sieht es aus,
das eventuell normale Variablen eines Scripts ausgelesen werden?

Es können normale Scriptvariablen ausgelesen und auch geändert werden.
Vorbeugen?
Ja, komplizierte Verbindiungen druch includes o.ä.
Kompletter Schutz nur durch Scripts?
Nicht möglich, nur mit Hilfe anderer Programme bzw. Anwendungen.

Tion · 2. März 2012

Deuce, eine Vorbeugung gegen Auslesung ist einfach
Wenn ich es richtig verstehe, möchte Opa einfach verhindern, dass z.B. die Variable "$test" nicht ausgelesen wird.

Übrigens ist mir doch was eingefallen, wie die Variablen ausgelesen werden könnten
Dazu mehr in dem Tut, wenn ich wieder an meinem Laptop bin

D N A · 2. März 2012

Sieht ganz interessant aus aber an den Farben musst echt was machen

Tion · 2. März 2012

Danke

PasMod / Deuce hat mir auch schon eines gezeigt, mit dem ich einverstanden währe. Ich werde das anpassen und installieren, wenn ich am Computer bin

Deuce · 2. März 2012

Nennt mich Psy, PsyNet quatsch

Klar ist eine Vorbeugung leicht, aber wer sagt dass sie auch wirksam ist?

z.B der größe Fehler von vielen Menschen ist.

Die MySQL Daten in dem selben Verzeichnis bzw. Datei zu haben. D.h den Host, das Passwort, den Namen und die Datenbank.
Also Am besten immer durch ein anderen Ordner zu einem Verzeichnis führt in dem ein weiterer Include ausgelesen wird wo sich die Daten befinden ^^.
So kann man einiges Vorbeugen, jedoch gibts auch dazu Programme die den FTP-Server komplett nach Ordnern und Daten durchsucht, sprich auch hier könnte man theoretisch nichts tuen, man kann jedoch den Zugang zu einem Ordner/Datei verwehren :D. "Berechtigung auf Lesen" aber auch hier könnten sich diverse Scripte ranmachen und diese Daten auslesen.

Tion · 2. März 2012

Ich schlage vor, wir diskutieren per PM weiter, um nicht alles voll zu spammen
Letzter Einwurf: htaccess + vor LFI und RFI schützen
Deuce, ich glaube, er redet von Webservern

(edit)

Opa_Schlumpf: "Dein" Tutorial ( Thema: Absichern vor SQL-Injections ) ist fertig.
Ich habe mich mal auf MySQL bezogen und SQLite angestoßen, da letzteres wohl wesentlich seltener genutzt wird
Du findest es unter Websicherheit.