Direkt zum Hauptbereich

wo sind alle unsre Daten hin??

Dass kann mit Sicherheit der ein oder andere webmaster singen. Oder man hatte bisher einfach nur Glück, das niemand Lust hatte diverse SQL-injections auszunutzen. Viele viele, einfach zu viele Seiten bieten die Möglichkeit einer sql-injection. Per Suchformular oder Login, oder über einen GET oder Post Parameter.

Wenn man sich mal auf ein Paar Seiten umschaut dann wundert es einen nicht dass hin und wieder eine Seite fremde Inhalte führt !!

Viele Wege führen nach Rom oder in deine Datenbank. Also nochmal zum Mitschreiben. Ich weiß Sicherheit ist ein lästiges Thema, bringt kein Geld und sowieso was soll dass denn es ist doch "nur" ne Internetseite......

So oder änlich scheinen diese webmaster oder immer öfter auch Programmierer zu denken. Oder aber Sie wissen schlichtweg nichts über Angriffstechniken.

Ich empfehle sich jedem bei wikipedia mal über sql-injection zu infomieren. Dort gibt es auch ein paar Weiterführende Links.

Zum ganz kurz antesten... einfach mal " OR oder ' OR in ein Suchfeld oder sonstwo eingeben. Oder auch in der URL als Parameter. Wenn nun eine SQL Meldung erscheint dann sind eure Seiten recht unsicher.

Denn dann wurde das Schlüsselwort OR in euren Select oder was auch immer mit eingeschleust und führt nun zu einer Fehlermeldung !! Also schaut nicht weg sondern lernt verantwortungsvolles Programmieren.......
Labels:

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

Soziale Netze und die Sicherheit! Report Kwick!

Die Sozialen Netzwerke, neudeutsch: Social Networks, halten nicht allzu viel von Sicherheit. Vor allem müssten die Entwickler viel mehr für das Thema XSS Sensibilisiert werden. D enn Potentielle Angreifer finden jede Schwachstelle im System. Und wer lange genug sucht der wird imme r fündig. Es sollte den An greifern nur nicht allzu einfach gemacht werden. Kwick.de hatte bis zum 20.06.08 auch noch oder wieder ein Problem mit XSS. Betroffen waren so gut wie alle Suchformulare auf der Seite. Per zufall bin ich auf diesen Umstand aufmerksam geworden. Eines sei gesagt. Bei Kwick kann man sich nun getrost Anmelden denn die Sicherheitslücke wurde sofort behoben. Also eine sichere Sache. Andere Social Networks haben ähnliche XSS Probleme, eigentlich erschreckend viele. Die Namen möchte ich nicht nennen denn sonst rennen vielleicht ein Paar Dummys dahin und testen es gleich......... Nachdem ich dieses Problem dem Betreiber gemeldet hatte wurde es auch Postwendend behoben. Nur aus diesem Gru...
Kommentar veröffentlichen
Mehr anzeigen

Magento - Simple Google Shopping - Add PHP code direct in XML Template

Magento - Extension "Simple Google Shopping" von wyomind Um das Template anzupassen gibt es hier auch die Möglichkeit PHP code direkt in das XML Template zu schreiben.  Dies kann hilfreich sein wenn man Felder aus Magento ändern möchte und dazu ein if Konstrukt benötigt. Hier ein Beispielhaftes Template für Simple Google Shopping mit PHP code direkt im template: Wichtig: der code muss ein "return" statement besitzen. Denn nur der Wert welcher vom PHP Block returned wird, ist nacher im google shopping XML file vorhanden.   Simple Google Shopping Extension
Kommentar veröffentlichen
Mehr anzeigen