Pagina 1 van 2 12 LaatsteLaatste
Weergegeven resultaten: 1 t/m 20 van 21
  1. #1
    Member Gitan's schermafbeelding
    Lid sinds
    5/09/03
    Locatie
    Gent
    Berichten
    77
    iTrader
    0

    MYSQL: vatbaarheid voor SQL-injection

    In hoeverre is MySQL vatbaar voor SQL-injection?

    Alles wat ik er tot nu toe over gelezen heb gaat over SQL server. De methoden die daar gebruikt worden (bijvoorbeeld: foefelen met GROUP BY en HAVING) hebben geen vat op MySQL.

    Ik vermoed dat er wel andere manieren zullen zijn?

  2. #2
    Member orez's schermafbeelding
    Lid sinds
    17/07/02
    Locatie
    Meulebeke
    Berichten
    4.405
    iTrader
    7 (89%)
    gewoon quotes en addslashes gebruiken...

  3. #3
    Member
    Lid sinds
    28/06/06
    Berichten
    95
    iTrader
    0
    gebruik mysql_real_escape en dan is da allemaal opgost

  4. #4
    Member dJeez's schermafbeelding
    Lid sinds
    17/07/02
    Locatie
    Sol System
    Berichten
    10.240
    iTrader
    1 (100%)
    Citaat Oorspronkelijk geplaatst door Gitan Bekijk bericht
    In hoeverre is MySQL vatbaar voor SQL-injection?
    Da's eigenlijk een vrij domme vraag, een RDBMS laat in principe nl. om het even welke query toe (de mate van succes hangt daarbij uiteraard af van het feit of de syntax van je query wel klopt ). De vraag die je wellicht wil stellen is : hoe voorkom ik SQL injection met <voeg hier je favoriete web scripting taal in>?

    SQL injection heeft nl. op zich niks te maken met het gebruikte RDBMS, maar wel alles met de manier waarop je script/programma parameters doorgeeft naar dat RDBMS toe.

  5. #5
    Member
    Lid sinds
    30/07/06
    Berichten
    239
    iTrader
    2 (100%)
    en wat is de beste manier om dit te voorkomen?

  6. #6
    Member dJeez's schermafbeelding
    Lid sinds
    17/07/02
    Locatie
    Sol System
    Berichten
    10.240
    iTrader
    1 (100%)
    De eerste stap is de controle van de input uiteraard, ipv die zomaar klakkeloos door te sturen naar je queries.

  7. #7
    Member
    Lid sinds
    2/12/03
    Locatie
    Nazareth
    Berichten
    583
    iTrader
    1 (100%)
    Citaat Oorspronkelijk geplaatst door orez Bekijk bericht
    gewoon quotes en addslashes gebruiken...
    bij systemen met beperkte beveiliging is die makkelijk te gebruiken. Met addslashes kunde zorgen dat het niet vraagt naar wachtwoord. Maar je moet wel een gebruikersnaam hebben

  8. #8
    Member WHiSPy's schermafbeelding
    Lid sinds
    17/07/02
    Locatie
    lifeless
    Berichten
    994
    iTrader
    0
    Citaat Oorspronkelijk geplaatst door maatje Bekijk bericht
    bij systemen met beperkte beveiliging is die makkelijk te gebruiken. Met addslashes kunde zorgen dat het niet vraagt naar wachtwoord. Maar je moet wel een gebruikersnaam hebben
    Mijn wenkbrauw gaat spontaan omhoog.

  9. #9
    Member orez's schermafbeelding
    Lid sinds
    17/07/02
    Locatie
    Meulebeke
    Berichten
    4.405
    iTrader
    7 (89%)
    Citaat Oorspronkelijk geplaatst door WHiSPy Bekijk bericht
    Mijn wenkbrauw gaat spontaan omhoog.
    Gebruikt de andere wenkbrauw.

  10. #10
    Member Smoerf's schermafbeelding
    Lid sinds
    28/07/04
    Locatie
    Wevelgem
    Berichten
    552
    iTrader
    0
    Mijn mond valt open :o

    Als je php met mysql gebruikt dan kan de schade nog beperkt blijven want de mysql_query instructie kan maar 1 query afhandelen.
    Zoals hier boven reeds gezegd, zeker de userinput goed afhandelen.
    Anders kan je eens de Programmers hacking guide raadplegen omtrent mysql injection.

    Mar natuurlijk hangt alles af van het gebruikte RDBMS

  11. #11
    Approved 9-lifer Lashknife's schermafbeelding
    Lid sinds
    17/07/02
    Locatie
    Boechout
    Berichten
    3.304
    iTrader
    1 (100%)
    Weblogs
    1
    ksnap toch ook niet waar dit op slaat ze, als ge de input deftig afhandeld (en da's geen complex iets) dan kan er geen bal gebeuren...

  12. #12
    Member DieselPower's schermafbeelding
    Lid sinds
    23/09/04
    Locatie
    2000
    Berichten
    5.759
    iTrader
    2 (100%)
    ik geloof dat dJeez hier ooit iets over gepost heeft in de sticky

  13. #13
    Member
    Lid sinds
    12/10/02
    Locatie
    Gent
    Berichten
    14.817
    iTrader
    2 (100%)
    vreemd, 1 van de belangrijkste ivm php & mysql injection is nog niet gezegd:
    NOOIT in de end-user versie je mysql-errors weergeven. Op die manier kan de hacker stilletjes aan, door te blijven proberen een succesvolle hack uitvoeren omdat hij altijd informatie over zijn failure krijgt.

    Daarnaast: u niet laten wijsmaken dat injects zoals "; DROP bla bla bla" mogelijk zijn, de queries van php ondersteunen geen multiple statements. Wat Smoerf dus ook al zei.

    En wilt maatje zijn grootste veiligheidsleak ooit eens uitleggen :/?

  14. #14
    Approved 9-lifer Lashknife's schermafbeelding
    Lid sinds
    17/07/02
    Locatie
    Boechout
    Berichten
    3.304
    iTrader
    1 (100%)
    Weblogs
    1
    eigenlijk in een end-user version: nooit enige vorm van system output geven, als je het dan toch wil doen, zelf opvangen en iets obscuurs als "database error, please send an email to ... and describe what you were trying to do" ofzo

    general error, db error, "user" error ma ni iets van "sql says: fubar query dude!"

  15. #15
    Member
    Lid sinds
    12/10/02
    Locatie
    Gent
    Berichten
    14.817
    iTrader
    2 (100%)
    Citaat Oorspronkelijk geplaatst door Lashknife Bekijk bericht
    eigenlijk in een end-user version: nooit enige vorm van system output geven, als je het dan toch wil doen, zelf opvangen en iets obscuurs als "database error, please send an email to ... and describe what you were trying to do" ofzo

    general error, db error, "user" error ma ni iets van "sql says: fubar query dude!"
    Yup.

    Beste is zelfs dat je php fouten opvangt tot op bepaald niveau en er eigen versie van geeft. Voor de rest kan je dan een db aanleggen of idd met mail sturen. Je kan idd de gebruiker nog om extra info vragen, maar zelfs zonder dat zou elke fout onmiddellijk moeten gemeld worden. Uw systeem moet foolproof zijn .

  16. #16
    Member Avalanched's schermafbeelding
    Lid sinds
    21/09/02
    Locatie
    Beveren-waas
    Berichten
    131
    iTrader
    0
    Moest je nu in php programmeren raad ik je ten sterkste MDB2 aan..

    het bespaart je hele hoop tijd, en er word aan security gedacht!

    http://pear.php.net/package/MDB2

  17. #17
    Member VeNeReA's schermafbeelding
    Lid sinds
    25/03/03
    Locatie
    Brugge
    Berichten
    545
    iTrader
    0
    prepared statements?

  18. #18
    Member WHiSPy's schermafbeelding
    Lid sinds
    17/07/02
    Locatie
    lifeless
    Berichten
    994
    iTrader
    0
    Citaat Oorspronkelijk geplaatst door VeNeReA Bekijk bericht
    prepared statements?
    Probleem bij PHP is dat 't een run-once-forget taal is. Je gaat dus geen prepared statements in memory kunnen bijhouden afaik.

  19. #19
    Member VeNeReA's schermafbeelding
    Lid sinds
    25/03/03
    Locatie
    Brugge
    Berichten
    545
    iTrader
    0
    Ik heb gitan dan ook niets horen zeggen over php.
    Maar je hebt uiteraard wel gelijk.

  20. #20
    Member
    Lid sinds
    12/10/02
    Locatie
    Gent
    Berichten
    14.817
    iTrader
    2 (100%)
    Citaat Oorspronkelijk geplaatst door WHiSPy Bekijk bericht
    Probleem bij PHP is dat 't een run-once-forget taal is. Je gaat dus geen prepared statements in memory kunnen bijhouden afaik.
    php doet wel degelijk aan basis caching e.d. (hoewel het nog veel beter kan ). Toch sins zend2

Pagina 1 van 2 12 LaatsteLaatste

Discussie informatie

Users Browsing this Thread

Op dit moment bekijken 1 gebruikers deze discussie. (0 leden en 1 gasten)

Regels voor berichten

  • Je mag geen nieuwe discussies starten
  • Je mag niet reageren op berichten
  • Je mag geen bijlagen versturen
  • Je mag niet je berichten bewerken
  •