Opened by tejste at 2014-07-23 12:46
User since
2005-01-17
14749 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2005-01-17
14749 Artikel
Admin1
Ich würde bei der automatischen Generierung aufpassen. Was nämlich die Felder an Werten beinhalten wird nicht überprüft!
Feine SQL-Injection ergibt's, wenn das Letzte Feld doch was anderes ist.
Ich weiß nicht ob was passieren kann, aber Nullbyte und UTF sind nicht so brav.
Daten:
Vertraut den erhaltenen Daten nicht so einfach auf Gültigkeit!!!
Gegen SQL Injections helfen Platzhalter für die Werte.
Zu SQL-Injections: https://www.owasp.org/index.php/SQL_Injection_Prev...
Last edited: 2014-07-23 15:00:44 +0200 (CEST)
Feine SQL-Injection ergibt's, wenn das Letzte Feld doch was anderes ist.
Ich weiß nicht ob was passieren kann, aber Nullbyte und UTF sind nicht so brav.
Daten:
Code: (dl
)
1
2
3
4
XXC;0.0040;0.0240;07/18/2014;03:50:48;FRIDAY_13_SQL)\x3B\x00DROP TABLE F00;
XXC;0.0040;0.0240;07/18/2014;03:50:48;FRIDAY_13_SQL)\U003B\x00DROP TABLE F00;
XXC;0.0040;0.0240;07/18/2014;03:50:48;FRIDAY_13_SQL)\U003B\0DROP TABLE F00;
XXC;0.0020;0.0220;07/18/2014;13:13:13;FRIDAY_13_SQL)\U003B\U00A\U00A\U00ADROP TABLE USERS WHERE (1=1;;
Vertraut den erhaltenen Daten nicht so einfach auf Gültigkeit!!!
Gegen SQL Injections helfen Platzhalter für die Werte.
Zu SQL-Injections: https://www.owasp.org/index.php/SQL_Injection_Prev...
Last edited: 2014-07-23 15:00:44 +0200 (CEST)