Hallo Leute,
ich wollte mich bezüglich sql injection weiterbilden. Inzwischen weiß ich auch, wie man die injection verhindert und sämtliche Tutorials von Youtube oder im internet gesehen/gelesen.

Habe auf meiner HP extra kein mysql_real_escape_string eingefügt um zu sehen, wie ich selber per injection die Daten verändere.

Beispiel aus dem NETZ:
http://webserver/cgi-bin/find.cgi?ID=42;UPDATE+USER+SET+TYPE="admin"+WHERE+ID=23

Die Funktion einer Injektion ist ja leicht verständlich. Ein weiterer Befehl wird einfach in der Adresszeile mit angehängt und übergeben.

In meinem Beispiel, auf meiner HP, übergebe ich nicht die ID sondern die Variable site
Der MySql befehl sieht so aus
$sql = "SELECT ".$seite." FROM IZ_content";

wenn ich nun meine Adresszeile veränder
http://www.xxxxxxxxx.de/index?seite=home;UPDATE IZ_content SET home='HACK'
dann taucht natürlich ein Fehler auf. Ich gehe davon aus, weil ich in mitten meiner sql Anweisung eine weitere Anweisung reinprügel will und der Server damit nicht einverstanden ist.

Meine Frage ist nun, gibt es Befehlszeichen um ein Befehl abzubrechen?
Muss ich nur Seiten schützen die eine ID Abfragen weil diese meistens am ende einer sql Anweisung stehen.


MfG 4ever =)

Dieser Angriff ist in den meisten Fällen NICHT möglich, da mysql_query() bzw. mysqli_query() nur EIN Query absetzen können. Der Rest wird ignoriert. Falls man soetwas möchte, gibt es dafür die *_multi_query Befehle.

In diesem spezifischen Fall würde ich zu einer Whitelist raten.

Hallo Felix Jacobi,
ich danke dir für deine Antwort.
Weil imme alle von SQL Injection reden, hatte ich gedacht, dass sowas einfach und schnell zu manipulieren ist. Habe mich schon gewundert wieso ich das nicht hinbekomme. Aber zur sicherheit werde ich meine übergebenen Strings trotzdem absichern und ein mysql_real_escape_string einbauen.

gruß 4ever01

Besser ist das.

Auch wenn nur ein Query abgegeben wird, kann es dennoch fatal sein, wenn nicht maskierte Strings angenommen werden.
Z. B. bei Loginformularen, dort könnte man durch das Einschleusen von Code die Abfrage wertlos machen.