Opened by [HR]Doomrunner at 2004-03-05 17:40
User since
2003-10-02
27 Artikel
BenutzerIn
![[Homepage]](/battie/theme/default/homepage.gif)
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2003-10-02
27 Artikel
BenutzerIn
Check mal die Sicherheit deines Skriptes...
Ein SQL-befehl vom Benutzer einzulesen ist äußerst unsicher...
Stell dir mal vor jemand gibt dir folgenden Link...:
Dann steht in deiner Anfrage sowas wie :
Und das löscht dir alle deine Daten.
Auf soetwas musst du dann auch aufpassen
Ein SQL-befehl vom Benutzer einzulesen ist äußerst unsicher...
Stell dir mal vor jemand gibt dir folgenden Link...:
Code: (dl
)
unternehmensdb.pl?filter=WHERE%201%3BDelete%20form%20data%20where %201
Dann steht in deiner Anfrage sowas wie :
Code: (dl
)
select * form Data where 1;Delete from data where 1;
Und das löscht dir alle deine Daten.
Auf soetwas musst du dann auch aufpassen
Code (perl): ()
1 2 3 4 5
$_=''; s%%`^.*`s;.*;uhtnmo;;a>lha~a>inu~a>fmk~a>rou~a>duM~a>btl~s;&&&&&&;!d1!l2!b3!i4!f5!r6q(?);e;Z` `}a>&&&`sub# "1#{#"_=shift#;s^"2^"3#^;``;~`return #"_#}``^!&&`"1(#""2)#\.`Z%; s~Z~print~g;s/#/\\/g;s/`(.)(.+?)`(.+?)`/s${1}${2}${1}${3}${1}g\;/g;s;&;(.);g;y^"^$^; print;