 |
 |
 |
 |
 |
|
Antwort
|
|
|
|
Registriert seit: 14. Sep 2006 Ort: Rostock 72 Beiträge Delphi 2007 Enterprise |
#1
Re: FireBird - Prepared Statement - SQL Injection
16. Jul 2009, 10:45
Zitat:
Ich blicke bei den ganzen Anführungszeichen nicht so ganz durch - kannst du ein konkretes Beispiel ohne zusätzliche Anführungszeichen machen.
Beim Passwort genau diese Zeichenkette : 'XX' OR (username LIKE '%ADMIN%' AND passwd LIKE '%') Die Hochkomma sind Notwendig, da er die gesamte Zeichenkette quasi als Passwort an das SQL anhängt. Damit würde Dein eigentliches SQL veränder werden. Wenn Du es als String ausgebe lässt, sieht es dann so aus SELECT id FROM user WHERE username= 'xx' AND passwd = 'XX' OR (username LIKE '%ADMIN%' AND passwd LIKE '%') Durch das OR wird die eigentliche Passwort/User Abfrage aufgehoben. Das SQL würde genau so an die Datenbank geschickt. Mit prepared und Parameter solltes es so wie oben beschrieben eigentlich nicht mehr möglich sein. Da für kenne ich aber php zu wenig. Wie gesagt ich würde immer eine SP vorziehen. Da bist Du auf der sicheren Seite. Das Könnte dann so aussehen
SQL-Code:
Das hatte ich noch vergessen. :-(
CREATE PROCEDURE SP_LOGIN (
USERNAME VARCHAR(40), PW VARCHAR(40)) RETURNS ( ID INTEGER) AS BEGIN SELECT ID FROM USER WHERE username = :USERNAME AND passwd = :PW INTO :ID; SUSPEND; END Und in Deinem Programm so aufrufen SELECT ID FROM SP_LOGIN(USERNAME,PW) Gruß Hartmuth |
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Hybrid-Darstellung
