BadLord Geschrieben 8. Juli 2006 Teilen Geschrieben 8. Juli 2006 Hallo erstmals bin hier neu :-) Kleine Frage ich will ein Hackit programmieren. Da sollte es dann möglich sein mit 'or 1=1 -- sich einzuloggen. Nun habe ich 2 Forms gebastelt die senden einem login.php script die eingegeben Daten. Gebe ich nun eben 'or 1=1 -- ein so wird dies nicht ausgeführt, nein es steht folgendes da (wenn ich ein echo mache) /'or 1=1 -- Die Datenbank muss also einen Schutz haben? Ich benutze Xampp die neuste Version und habe mit PHPmyAdmin die DB erstellt. Frage: Wie kann ich diesen Schutz ausschalten? LG und Danke Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Amstelchen Geschrieben 9. Juli 2006 Teilen Geschrieben 9. Juli 2006 Ãch versteh nur bahnhof; kannst du die relevanten codezeilen posten? s'Amstel Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 10. Juli 2006 Teilen Geschrieben 10. Juli 2006 Gebe ich nun eben 'or 1=1 -- ein so wird dies nicht ausgeführt, nein es steht folgendes da (wenn ich ein echo mache) /'or 1=1 -- [...] Frage: Wie kann ich diesen Schutz ausschalten? Entweder mit set_magic_quotes_runtime(0); in deinem Code (schaltet magic quotes in dem Script aus) oder php_flag magic_quotes_gpc off in der .htaccess (schaltet sie für alle Scripte in dem Ordner, oder darunter, aus) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SNOWMAN Geschrieben 10. Juli 2006 Teilen Geschrieben 10. Juli 2006 Frage: Wie kann ich diesen Schutz ausschalten? Wieso willst du einen Schutzmechanismus ausschalten? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 10. Juli 2006 Teilen Geschrieben 10. Juli 2006 Wieso willst du einen Schutzmechanismus ausschalten? Weil er ja in dem Fall will, dass man diese Unsicherheit ausnutzen kann. EDIT: Du kennst doch bestimmt die Seiten, wo du dich irgendwie "einhacken" musst um zur nächsten Seite zu gelangen. Sowas will er ja machen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SNOWMAN Geschrieben 10. Juli 2006 Teilen Geschrieben 10. Juli 2006 Achso, ja, die lustigen Seiten, bei denen man "Input Overflows" verursacht und diese dann den PHP Quellcode ausgeben in welchem Username und Passwort stehen Vergiss aber nicht, das du mehr als nur 1=1 eingeben kannst, daher solltest du eine zusätzliche Abfrage auf das eingebene machen, so das keine weiteren, richtig schädlichen, SQL Statements eingegeben werden können. Ich würd eh lieber anders herum an sowas gehen. Nicht Sicherheitsmechanismen deaktivieren um echtes Hacken zu ermöglichen, sondern die Sicherheit bestehen lassen und ein "fake" Hacken ermöglichen, indem du die Eingaben überprüfst und anhand dieser entscheidest, ob der Angreifer durchkommt oder nicht. OK, ist zwar mehr Arbeit, aber bevor sich jemand dann dein System unter den Nagel reist, weil du einen Mechanismus zuviel deaktiviert hast Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.