Ankündigung

Einklappen
Keine Ankündigung bisher.

Bin ich vor Bösen Menschen sichen? :>

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Bin ich vor Bösen Menschen sichen? :>

    Hallo liebe Gemeinde

    Ich befasse mich seid kurzem mit dem Thema SQL auf meiner Internetseite allerdings bin ich vom Wissenstand her noch ein absoluter Frischling.

    Ich habe vor auf der meiner Seite Datensätze aus einer SQL Tabelle auszugeben, soll heißen jemand klick "vor" und es erscheint der nächste Datensatz.

    Dies habe ich mit folgendem Befehl gelöst was auch prima klappt.
    PHP-Code:
    <a href="<?php printf("%s?pageNum_daten=%d%s"$currentPagemin($totalPages_daten$pageNum_daten 1), $queryString_daten); ?>"
    Nun zu meiner eigentlichen Frage. Ist es möglich die dahinterhängende Datenbank mittels SQL-Injection ,Cross-site Scripting und wie das alles heißt auf einen Schlag auszulesen?

    Auf der Seite befindet sich keine Eingabemaske ,Loginbereich oder ähnliches.

    Bin auf eure Antworten gespannt.

    Gruß Manuela

  • #2
    Das können wir dir nicht beantworten da wir nicht wissen wie dein Query aussieht!

    Kommentar


    • #3
      Und statt printf kann man auch echo verwenden

      Kommentar


      • #4
        Zitat von Flor1an Beitrag anzeigen
        Das können wir dir nicht beantworten da wir nicht wissen wie dein Query aussieht!
        Also ist es Grundsätzlich möglich? Ich habe sonst nichts spannendes mehr drin stehn... Datenbankverbinden,beenden...

        Und statt printf kann man auch echo verwenden
        Ist das nicht so ziehmlich das gleiche?


        Gruß

        Kommentar


        • #5
          Das können wir dir nicht sagen. Wenn du dienen Query abgesichert hast dann wohl nicht, wenn er nicht abgesichert ist dann hast du halt nen Problem ... dafür müssten wir aber wissen wie du deinen Query zusammenbaust und abschickst.

          Kommentar


          • #6
            Und statt printf kann man auch echo verwenden
            Nicht, wenn man wie oben mit Plathaltern arbeitet. Was auch die Frage beantwortet:
            Ist das nicht so ziehmlich das gleiche?
            Was ihr vielleicht meint ist print. Und auch dort gibt es Unterschiede zu echo (Funktion vs. Sprachkonstrukt)
            [COLOR="#F5F5FF"]--[/COLOR]
            [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
            „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
            [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
            [COLOR="#F5F5FF"]
            --[/COLOR]

            Kommentar


            • #7
              Zitat von cypex Beitrag anzeigen
              SQL-Injection ,Cross-site Scripting
              Basiert alles auf Nutzereingaben (_GET, _POST etc., register_globals mal ausgeschlossen) die zumindest in dem was du gepostet hast nicht vorkommen.
              [I]You know, my wife sometimes looks at me strangely. „Duncan“, she says, „there's more to life than Solaris“. Frankly, it's like she speaks another language. I mean, the words make sense individually, but put them together and it's complete nonsense.[/I]

              Kommentar


              • #8
                Das sehe ich anders:

                soll heißen jemand klick "vor" und es erscheint der nächste Datensatz.
                printf("%s?pageNum_daten=%d%s"
                [COLOR="#F5F5FF"]--[/COLOR]
                [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
                „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
                [COLOR="#F5F5FF"]
                --[/COLOR]

                Kommentar


                • #9
                  Jetzt bin ich ein wenig verwirrt.

                  jau @ chorn . eine Nutzereingabe gibt es definitiv nicht auf der Seite

                  Kommentar


                  • #10
                    GET Parameter in einem Link sind eine Nutzereingabe. Nur wissen wir nicht, was du genau mit ihnen anstellst
                    [IMG]https://g.twimg.com/twitter-bird-16x16.png[/IMG][URL="https://twitter.com/fschmengler"]@fschmengler[/URL] - [IMG]https://i.stack.imgur.com/qh235.png[/IMG][URL="https://stackoverflow.com/users/664108/fschmengler"]@fschmengler[/URL] - [IMG]http://i.imgur.com/ZEqflLv.png[/IMG] [URL="https://github.com/schmengler/"]@schmengler[/URL]
                    [URL="http://www.schmengler-se.de/"]PHP Blog[/URL] - [URL="http://www.schmengler-se.de/magento-entwicklung/"]Magento Entwicklung[/URL] - [URL="http://www.css3d.net/"]CSS Ribbon Generator[/URL]

                    Kommentar


                    • #11
                      Sicher? Auch wenn der User auf "nächste Seite" klickt wird nicht irgendwo die Nummer übergeben die die Seite angibt?

                      Kommentar


                      • #12
                        PHP-Code:
                        mysql_query($_GET['query']); 
                        wäre jetzt ein bischen risikobehaftet. Andere Konstrukte können genauso schreckliche Folgen haben, auch wenn man es ihnen nicht ansieht.
                        [PHP]if ($var != 0) {
                        $var = 0;
                        }[/PHP]

                        Kommentar


                        • #13
                          Was bedeutet das nun für mich? Das ich zb bei der abfrage mit real_escape_string arbeite?

                          Kommentar


                          • #14
                            Zitat von cypex Beitrag anzeigen
                            Ist es möglich die dahinterhängende Datenbank mittels SQL-Injection ,Cross-site Scripting und wie das alles heißt auf einen Schlag auszulesen?
                            Wenn du die Stichworte schon kennst - warum informierst du dich dann nicht auch selber, was sie bedeuten?

                            Fang bitte damit an: Artikel:Kontextwechsel – SELFHTML
                            [SIZE="1"]RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?[/SIZE]

                            Kommentar


                            • #15
                              Wikipedia ist auch ein guter EInstieg.
                              [COLOR="#F5F5FF"]--[/COLOR]
                              [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
                              „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                              [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
                              [COLOR="#F5F5FF"]
                              --[/COLOR]

                              Kommentar

                              Lädt...
                              X