SEO and Web Security since 2006
![SQL-Injections – eine Analyse an PHP & MySQL [UPDATE]](https://www.erich-kachel.de/wp-content/themes/hueman/img/thumb-medium.png)
PHP / Schwachstellenanalyse / Sicherheit
· von Erich Kachel · 30 Aug, 2008
Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) SQL-Injection-Angriffe beschreiben das Injizieren von SQL-Code [Wika] in eine Anwendung, sodass dieser von der...
PHP / Schwachstellenanalyse / Sicherheit
· von Erich Kachel · 24 Aug, 2008
Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) Cross Site Scripting beschreibt das Ausführen von Skriptbefehlen über unterschiedliche Webseiten hinweg. Praktisch bedeutet...
· von Erich Kachel · 19 Aug, 2008
Hier wird gezeigt wie der Inhalt einer MySQL-Tabelle aufgelistet wird, und wie dazu automatisch Links zum Vor- und Zurückblättern eingebaut werden. Gehen wir von einer besonders langen MySQL-Tabelle "albums" aus. Wir legen pro Seite maximal 5 Datensätze fest. Unsere Beispieltabelle...
· von Erich Kachel · 19 Aug, 2008
Funktion: QB_ARRAY2RADIO Beispiele: Erstellt ein Radiobuttonset mit dem Namen "geschlecht" und der Auswahl "männlich, weiblich": Erstellt ein Radiobuttonset mit der Auswahl "männlich, weiblich" und wählt ‚weiblich‘ aus:
· von Erich Kachel · 19 Aug, 2008
Funktion: QB_HTTPVARS2ARRAY Beispiele: Gibt den Wert der Variable "name" zurück. Dabei wird diese in POST, GET und SESSION gesucht und falls sie in mehr als einer vorkommt, vom zuletzt gefundenen Wert gelöscht: (POST->GET->SESSION) Gibt den Wert der Variable "name" zurück....
· von Erich Kachel · 19 Aug, 2008
Funktion: QB_DATETIME2ARRAY Diese Funktion wandelt den Inhalt eines DATE-Feldes einer MySQL-Tabelle zu einem Array von Einzelwerte (Tag, Monat, usw.), sodass sie anderweilig einzeln verwendet werden können. Beispiele: Eine für Deutschland übliche Datumsangabe, erzeugt aus dem DATE-Feld einer MySQL-Tabelle: Die Uhrzeit...
· von Erich Kachel · 19 Aug, 2008
Funktion: QB_SECURE_MYSQL_PARAM Zu verwenden auf Variablen, die dann in SQL-Anweisungen verwendet werden. Durch das Maskieren von Sonderzeichen wird verhindert, dass klassische SQL-Injection-Angriffe auf die Datenbank stattfinden können. Beispiele: Säubern der Variable: Innerhalb einer MySQL-Anfrage ist die Funktion jeweils bei Werten...
· von Erich Kachel · 19 Aug, 2008
Zuerst haben wir ein sehr einfaches Formular. Da "action" nicht belegt ist, wird beim absenden die selbe Seite wieder geladen. Das werden wir zur Auswertung der Daten nutzen: Um die ankommenden Daten auszulesen, wird vor dem Formular die Datenausgabe eingebaut....
· von Erich Kachel · 19 Aug, 2008
Nachdem ein Formular gesendet wurde kann es nötig sein, dieses wieder einzublenden damit der Nutzer z.B. Eingabefehler korrigieren kann (E-Mail falsch oder ähnliches). Dazu müssen die gesendeten Daten wieder in die Felder eingefügt werden. Da diese Methode gerne für XSS-Angriffe...
· von Erich Kachel · 19 Aug, 2008
Funktion: QB_TABLE2PULLDOWN Führt eine simple SQL-Anfrage auf eine Tabelle aus und erstellt aus den Daten ein Pulldown. Beispiele: Gehen wir von der Existenz der Tabelle "nutzer" aus: So wird ein Pulldown mit den Namen der Nutzer erstellt. Dabei entscheiden wir...
Mehr