Kostenfreie Alternative zum SQL-Injection Stresstest "Pangolin"?

Phil7789 · 05.05.2011, 15:35

Servus,
kennt jemand von euch eine kostenfreie Alternative zu "Pangolin" mit der man Scripts auf mögliche SQL-Sicherheitslücken testen kann? Man kann ja schließlich immer mal was übersehen.

Außerdem bin ich mir nicht so sicher ob es reicht SQL Abfagen per

PHP-Code:

  mysql_query(... '".$variable."' ....)

abzusichern oder ob man doch zu

PHP-Code:

  mysql_real_escape_string

greifen sollte. Würde das gerne mit einem Tool mal durchtesten, aber 800$ ist dann doch etwas zu teuer ^^

MfG Phil

cycap · 05.05.2011, 15:46

sorry, aber dein erstes Beispiel hat überhaupt nichts mit absichern zu tun

Phil7789 · 05.05.2011, 16:01

Naja, dachte an ein "escapen" durch die doppelten Anführungszeichen ^^ Bin mir eben nicht sicher ob das das richtige ist, aber deinem Beitrag entnehm ich mal, dass es egal ist ob ich

PHP-Code:

  '".$variable."'

 
// oder

 
'$variable'

schreibe, es muss auf jedenfall ein mysql_real_escape_string dazu?

mfg Phil

Asipak · 05.05.2011, 16:02

Wenn es ein String ist, ja!

Phil7789 · 05.05.2011, 16:04

Alles klar, danke

Bleibt noch die Frage nach so einem Stresstool mit dem man auf mögliche Sicherheitslücken prüfen kann.

Kann hier jemand evtl sogar Erfahrungen berichten, was ist gut, was ist schlecht?

Danke schonmal,
Phil

Dark Guardian · 05.05.2011, 18:26

Versuch mal die XSS-Me Sidebar für Firefox. Es wird nicht gezielt auf SQL Injections geprüft, aber Zeichen wie ' und " werden mit abgetastet.

Phil7789 · 05.05.2011, 22:15

Alles klar, danke. Werd ich mir mal anschauen.

MfG Phil

cetalian · 05.05.2011, 23:04

Bei

Zitat:

'$variable'

muss kein Escapen stattfinden muss der Klukscheisser in mir leider anmerken

.

G.Schuster · 05.05.2011, 23:06

Zitat:

Zitat von Phil7789

Naja, dachte an ein "escapen" durch die doppelten Anführungszeichen
[...]
mysql_real_ESCAPE_string

Fällt dir was auf?
Was escapest du denn, wenn du keine Escape-Funktion darauf anwendest?

Zitat:

Zitat von cetalian

Bei

Zitat:

'$variable'

muss kein Escapen stattfinden muss der Klukscheisser in mir leider anmerken

.

Geht man vom ersten Beispiel aus dürfte auch das in einem geparsten String stehen ("...'$variable'..."), also auch hier Escaping nötig

Phil7789 · 07.05.2011, 13:09

Danke euch für die Tipps

Werd ich berücksichtigen beim tüfteln.

MfG Phil

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
MySQL Website via SQL Injection gehackt	m0dpad	Off-Topic Diskussionen	0	28.03.2011 10:34
[Erledigt] Das leidige Thema SQL Injection	EmmKey	PHP Einsteiger	12	05.02.2011 16:12

05.05.2011, 15:35
Phil7789 Neuer Benutzer Registriert seit: 02.05.2011 Beiträge: 25 PHP-Kenntnisse: Anfänger	Kostenfreie Alternative zum SQL-Injection Stresstest "Pangolin"? Servus, kennt jemand von euch eine kostenfreie Alternative zu "Pangolin" mit der man Scripts auf mögliche SQL-Sicherheitslücken testen kann? Man kann ja schließlich immer mal was übersehen. Außerdem bin ich mir nicht so sicher ob es reicht SQL Abfagen per PHP-Code: `mysql_query(... '".$variable."' ....)` abzusichern oder ob man doch zu PHP-Code: `mysql_real_escape_string` greifen sollte. Würde das gerne mit einem Tool mal durchtesten, aber 800$ ist dann doch etwas zu teuer ^^ MfG Phil


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

05.05.2011, 15:46
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	sorry, aber dein erstes Beispiel hat überhaupt nichts mit absichern zu tun

05.05.2011, 16:01
Phil7789 Neuer Benutzer Registriert seit: 02.05.2011 Beiträge: 25 PHP-Kenntnisse: Anfänger	Naja, dachte an ein "escapen" durch die doppelten Anführungszeichen ^^ Bin mir eben nicht sicher ob das das richtige ist, aber deinem Beitrag entnehm ich mal, dass es egal ist ob ich PHP-Code: `'".$variable."' // oder '$variable'` schreibe, es muss auf jedenfall ein mysql_real_escape_string dazu? mfg Phil

05.05.2011, 16:02
Asipak Moderator Registriert seit: 18.07.2005 Beiträge: 4.072	Wenn es ein String ist, ja!

05.05.2011, 16:04
Phil7789 Neuer Benutzer Registriert seit: 02.05.2011 Beiträge: 25 PHP-Kenntnisse: Anfänger	Alles klar, danke Bleibt noch die Frage nach so einem Stresstool mit dem man auf mögliche Sicherheitslücken prüfen kann. Kann hier jemand evtl sogar Erfahrungen berichten, was ist gut, was ist schlecht? Danke schonmal, Phil Geändert von Phil7789 (05.05.2011 um 16:15 Uhr).

05.05.2011, 18:26
Dark Guardian Erfahrener Benutzer Registriert seit: 10.10.2009 Beiträge: 2.630 PHP-Kenntnisse: Fortgeschritten	Versuch mal die XSS-Me Sidebar für Firefox. Es wird nicht gezielt auf SQL Injections geprüft, aber Zeichen wie ' und " werden mit abgetastet. __________________ "Alles im Universum funktioniert, wenn du nur weißt wie du es anwenden musst".

05.05.2011, 22:15
Phil7789 Neuer Benutzer Registriert seit: 02.05.2011 Beiträge: 25 PHP-Kenntnisse: Anfänger	Alles klar, danke. Werd ich mir mal anschauen. MfG Phil

07.05.2011, 13:09
Phil7789 Neuer Benutzer Registriert seit: 02.05.2011 Beiträge: 25 PHP-Kenntnisse: Anfänger	Danke euch für die Tipps Werd ich berücksichtigen beim tüfteln. MfG Phil