Schrift
[thread]12208[/thread]

select abfrage

Leser: 1


<< |< 1 2 >| >> 12 Einträge, 2 Seiten
Alter
 2008-07-20 22:05
#112348 #112348
User since
2008-02-27
67 Artikel
BenutzerIn
[default_avatar]
guten abend,

ich will eine select abfrage machen für ein passwort und nen namen, bekomme aber einen fehler.

Code (perl): (dl )
my $user_dbh = $dbh -> prepare("select name, passwort from user where name = '".$name."' and passwort = password($passwort)");


fehlermeldung:

Code: (dl )
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 1


was ist hier dran falsch??

vielen dank

alter
The only way to survive! Before and after the year 2000, 3000, 4000, ... and tomorrow, too! Linux forever
Alter
 2008-07-20 22:11
#112350 #112350
User since
2008-02-27
67 Artikel
BenutzerIn
[default_avatar]
tut mir leid habe es jetzt selber...:-)

habe vergessen
Code (perl): (dl )
password($passwort)
in
Code: (dl )
''
zu packen

schönen sonntag allen noch
The only way to survive! Before and after the year 2000, 3000, 4000, ... and tomorrow, too! Linux forever
pq
 2008-07-20 22:31
#112351 #112351
User since
2003-08-04
12208 Artikel
Admin1
[Homepage]
user image
benutze lieber platzhalter, wenn in $name oder $password ein ' vorkommt, hast du schon verloren!

Code (perl): (dl )
1
2
my $user_sth = $dbh -> prepare("select name, passwort from user where name = ? and passwort = password(?)");
$user_sth->execute($name, $password);
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:Wie frage ich & perlintro Wiki:brian's Leitfaden für jedes Perl-Problem
nepos
 2008-07-20 22:44
#112353 #112353
User since
2005-08-17
1420 Artikel
BenutzerIn
[Homepage] [default_avatar]
Wieder mal ein Paradebeispiel, wo man schön SQL-Injection-Angriffe machen kann :(
Alter
 2008-07-20 22:58
#112355 #112355
User since
2008-02-27
67 Artikel
BenutzerIn
[default_avatar]
wieso....kannst du das auch genauer beschreiben??
The only way to survive! Before and after the year 2000, 3000, 4000, ... and tomorrow, too! Linux forever
pq
 2008-07-20 23:06
#112357 #112357
User since
2003-08-04
12208 Artikel
Admin1
[Homepage]
user image
bitteschön:
Code (perl): (dl )
1
2
3
4
my $name = "' or name = 'admin";
my $passwort = "') or passwort not in ('";                                                                
my $sql = "select name, passwort from user where name = '$name' and passwort = password('$passwort')";
print $sql;

ergebnis:
Code: (dl )
select name, passwort from user where name = '' or name = 'admin' and passwort = password('') or passwort not in ('')

d.h. in dem fall kriegst du als ergebnis den admin-account zurück.
und jetzt sag nicht, du kannst ja dann noch in perl den usernamen vergleichen.
wenn du keine platzhalter benutzt, stehen dem angreifer tür und tor offen, und die
lücken in phpnuke, wordpress, joomla etc., von denen du vielleicht immer mal wieder
in den news liest, sind sehr oft genau solche lücken.
platzhalter sind bequem und sicher, also benutz sie.
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:Wie frage ich & perlintro Wiki:brian's Leitfaden für jedes Perl-Problem
Alter
 2008-07-20 23:18
#112358 #112358
User since
2008-02-27
67 Artikel
BenutzerIn
[default_avatar]
mh...gut ok danke...soweit habe ich nicht gedacht, sollte man aber....vielen dank!!
The only way to survive! Before and after the year 2000, 3000, 4000, ... and tomorrow, too! Linux forever
GwenDragon
 2008-07-21 13:31
#112374 #112374
User since
2005-01-17
14746 Artikel
Admin1
[Homepage]
user image
Du wirst doch nicht erst daran denken, wenn deine unsichere Applikationen als Spamschleuder dient oder gar deine Datenbank mit illegalen Inhalten wie Links auf Kinderpornografie, Terrorwebseiten oder sonstigem Mist gefüllt ist, oder deine Webanwendung Inhalte verteilt wie Viren & Co anstatt harmloser Bilder.
Du bist für die Sicherheit deiner Anwendungen verantworlich. Nimm das nicht auf die leichte Schulter. Denn wenn es (juristischen) Ärger gibt, dann bekommst du den.
renee
 2008-07-21 13:39
#112375 #112375
User since
2003-08-04
14371 Artikel
ModeratorIn
[Homepage] [default_avatar]
Vielleicht auch mal einen Blick hier rein werfen: http://wiki.perl-community.de/bin/view/Wissensbasi...
OTRS-Erweiterungen (http://feature-addons.de/)
Frankfurt Perlmongers (http://frankfurt.pm/)
--

Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
Perl-Entwicklung: http://perl-services.de/
GwenDragon
 2008-07-21 13:49
#112376 #112376
User since
2005-01-17
14746 Artikel
Admin1
[Homepage]
user image
Der Wikieintrag ist je nur eine grobe Übersicht.
Ich könnte ja mal meine Links in Wiki stellen zu CGI-Sicherheit, XSS, XSFR etc.
<< |< 1 2 >| >> 12 Einträge, 2 Seiten



View all threads created 2008-07-20 22:05.