Ankündigung

Einklappen
Keine Ankündigung bisher.

Tipp: mysql_real_escape_string() benutzen

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige Weiter
  • #1

    Tipp: mysql_real_escape_string() benutzen

    Mehrmals wöchentlich sieht man hier PHP-Code, bei dem Usereinagaben direkt in MySql-Queries gesetzt werden. Beispiel:

    PHP-Code:
    // ACHTUNG: SO IST ES FALSCH
    $name $_POST['name'];
    $sql "SELECT email FROM user WHERE name = '$name'"
    Mit einer geeigneten Eingabe im Formularfeld 'name' kann ein Angreifer sich zunächst einen Überblick darüber verschaffen, welche Tabellen es in der Datenbank gibt und wie deren Spalten heißen, um dann alle Daten auszulesen, ggf. zu verändern oder zu löschen.

    Daher müssen alle Usereingaben entschärft werden. Im obigen Code:

    PHP-Code:
    // SO WIRD'S GEMACHT
    $name $_POST['name'];
    $sql "SELECT email FROM user WHERE name = '" mysql_real_escape_string($name) . "'"
    Einfach mal hier oder in Google nach "sql injections" suchen.



    Was selbst bei großen Unternehmen, oder gerade bei diesen passieren kann, wenn man eine Tür offen lässt, ist hier nachzulesen:

    http://www.bdsg-externer-datenschutz...-datenskandal/


    PS: JA JA JA, ich gestehe, dass ich dies Escaping-Thema nur deshalb entwickelt habe, damit der Sony-Link an möglichst prominenter Stelle platziert werden kann, um hier lesenden PS-Nutzern den Rat zu geben, ggf. dort Passworte zu ändern, wo sie gleichlautend mit den PS-Zugangsdaten sind. Unser Sohn hatte sein PS-Passwort auch als Paypal-Passwort genommen.
    Stichworte: -
  • #2
    bezüglich deines letzten Absatzes ... interessanter wäre, ob sich schon verdächtige Aktivitäten bei PayPal ereignet haben. Ich hab den entsprechenden Artikel bei Heise gelesen - danach haben die Angreifer ja buchstäblich "alles" abgegriffen, das nicht angenagelt war... Kreditkartendaten, Adressen ..

    Also ideal für Adresshändler .. und schlimmere Aktivitäten

    Kommentar

    • #3
      Noch besser wäre es natürlich mysl_* gar nicht mehr zu benutzen und statt dessen PDO mit Prepared Statements zu verwenden. Nur der Vollständigkeit halber.

      Kommentar

      • #4
        PS: JA JA JA, ich gestehe, dass ich dies Escaping-Thema nur deshalb entwickelt habe, damit der Sony-Link an möglichst prominenter Stelle platziert werden kann, um hier lesenden PS-Nutzern den Rat zu geben, ggf. dort Passworte zu ändern, wo sie gleichlautend mit den PS-Zugangsdaten sind. Unser Sohn hatte sein PS-Passwort auch als Paypal-Passwort genommen.
        Ich hoffe doch mal, die haben Passwörter nicht im Klartext gespeichert!

        Kommentar

        • #5
          wenn ich den Artikel bei Heise richtig verstanden habe ... doch , nikosch ..

          Kommentar

          • #6
            Falls doch, wie du sagtest Eagle, dann wünsch ich Ihnen den größtmöglichen Imageschaden!

            Eine Frage beschäftigt mich auch noch ... Die Größe des Datenklaus lässt darauf schließen das die Daten sehr zentral gehalten wurden! Ist das bei dieser Menge an Daten nicht eher als negativ anzusehen?

            Kommentar

            • #7
              nun 77 Mio Kundensätze sind für ne Datenbank nicht wirklich ein Problem - und große Konzerne denken eher zentralistisch, was Datenhaltung angeht ....von daher ... das wird wohl alles in einer größeren (Oracle-)Datenbank gewesen sein... Da ich aber schon mit Oracle-DB "engeren Kontakt" hatte (Kundendatenbank der Versicherungsgesellschaft, für die mein Vater Ausschließlichkeitsvertreter war (offiziell "Generalagentur") ... scheint der Zugriff recht interessant. Oracle ist nämlich im Gegensatz zu MySQL eher wenig auskunftsfreudig ... ein
              Code:
              show databases;
              liefert einem schon mal die Datenbanken des Servers - nur bei MySQL .. Oracle belohnt solche Befehle mit "SQL-Fehler"

              ebenso verhält es sich mit
              Code:
              show tables;
              ...
              (und bevor jetzt kommt - mach statt show doch explain oder describe - die hab ich alle ausprobiert )
              ich geh also davon aus, dass die / der Unbekannte(n) sich Zugriff verschaffen konnten zur Account-Verwaltung .... und dies sollte eigentlich doch abgesichert sein eben gegen Fremdzugriff ...
              ebenso wie es eigentlich ein Ding der Unmöglichkeit ist, Passwörter im Klartext abzulegen ...

              Aber wir haben ja schon am Beispiel Deutsche Telekom erfahren, dass insbesondere die großen Unternehmen ein sagen wir mal "ziemlich eigenes" Verständnis vom Datenschutz haben (wir halten Daten über das Unternehmen - insbesondere solche , die uns schlecht aussehen lassen könnten unter Verschluss (Umweltverschmutzung) aber die Kundendaten .. ja damit kann man doch Geld verdienen bei Adress-händlern (zumindest bei der Telekom).....)

              Kommentar

              • #8
                Aus gut unterrichteten Quellen war zu erfahren, dass die userDB automatisch dann zum Download angeboten wird, wenn man bei Supermario dem Endfeind mit einem Holzhammer auf den dicken Zeh haut. Das war insofern gar kein Bug, sondern ein Feature.

                Kommentar

                • #9
                  Das sind aber auch Schmerzen. Ich glaube da würde ich die Daten auch rausrücken

                  Kommentar

                  • #10
                    Sho databases und Konsorten sind kein ANSI-Standard (behaupte ich mal). Oracle setzt dies anders um. In DB2 gibt es dabei auch keine eigenen Befehle, sondern eigene Tabellen, die sich abfragen lassen (Datenbank SYSIBM). Und so weiter. Die SQL-Befehle heissen nicht, dass es nicht auskunftsfreudig sind.

                    Aus den wenigen Informationen irgendwas zu schließen, mag ja eine nette Spielerei sein, aber das ist vollkommen unseriös. Das einzige, was ich schließen würde: Sony hat ein massives Problem. Nicht nur wegen dem Vorfall als solches. Auch die Tatsache, dass sie ihn zunächst nicht bemerkten und dass sie exakt 0 Infos rausgeben, zeigt, dass sie ein sehr gravierendes Sicherheitsproblem hatten. Bei diesem Vorfall muss ich alle Hebel in Bewegung setzen in kürzester Zeit zu wissen, was passierte, in welchem Umfang und was ich für Versäumnisse gehabt habe.
                    Dass Sony die Notbremse zog (vollständiges Abschalten), dass es sich exakt nicht äußert, zeigt mir zumindest, dass die Jungs:
                    a) keine Ahnung haben, wie schlimm der Schaden ist (wäre fatal)
                    b) gravierende Sicherheitslecks nicht behoben haben (Nogos, wie Klartextabspeichern von Passwörtern etc.) Auch die nicht gesonderte und gesicherte Abspeicherung von Kreditkartendaten zeigt doch bereits ein ziemliches Infrastrukturproblem.

                    Ich denke Sony hat wirklich daran zu knappern und will nicht zugeben, dass die ganze Plattform sehr blauäugig und unsicher war von Anfang an.


                    Unabhängig davon: Wenn einer in die Systeme eindringt und wenn er sich eine Woche unbemerkt dort austoben kann, dann ist der Schaden eh nicht mehr zu beheben. Es ist kaum anzunehmen, dass sensible Daten NICHT gestohlen wurden. Ich würde vom schlimmsten Fall ausgehen und das heisst: Kreditkarten und Kontobewegungen überprüfen...

                    Kommentar

                    • #11
                      dann mal konkreter .. ganz frisch auf heise
                      http://www.heise.de/newsticker/meldu...k-1234099.html
                      Patric Seybold, seines Zeichens Senior Direktor für Sonys Firmenkommunikation und Social Media, hat über das US-Playstation-Blog weitere Informationen bekannt gegeben, wie Sony gedenkt, das Playstation Network wieder hochzufahren. Demnach soll das Netzwerk bis kommenden Mittwoch wieder online gehen, aber nur "wenn wir sicher sind, dass das Netzwerk gesichert ist", erklärte Seybold. Vor dem Neustart müssen Playstation-Anwender zunächst ein Firmware-Update aufspielen, das sie zur Änderung ihres Passworts zwingt. Ebenso sollen die SDKs für die Debug-Konsolen der Spiele-Entwickler und -Tester ausgetauscht werden.

                      Laut Seybold waren die persönlichen Daten der Anwender unverschlüsselt gespeichert. Lediglich die Datenbank mit den Kreditkartennummern sei verschlüsselt gewesen; es gebe keine Hinweise darauf, dass die Datendiebe auf sie zugegriffen haben. Die dreistellige Sicherheitsnummer der Kreditkartenrückseite sei nirgends im System gespeichert gewesen, stellt Seybold klar.
                      insbesondere der 1te Satz im 2ten Absatz ist schon ein starkes Stück ...

                      Kommentar

                      • #12
                        Naja, ich habe keine PSP. Wenn du aber wenigstens die Sicherheitsnummer immer eintippen musstest und sie nicht gespeichert war, können die Angreifer zumindest mit diesen Daten, sollten sie entschlüsselt werden, nicht ganz so viel anfangen. Soweit so gut. Die anderen Daten sind mindestens ebenso gravierender. Vor allem, weil jeder heutzutage bei 20 Diensten unterwegs ist und die wenigsten denken sich bei jedem Dienst ein eigenes neues Passwort aus. Ich danke Gott für meinen Instinkt, für meine Server die Root-Passwörter immer und grundsätzlich NCIHT auszuwechseln mit leichter zu merkenden. So habe ich für jeden Server, für jeden Kunden eigene Passwörter. Auch wenn es gefährlich ist, wenn meine Passwort-Liste mal an falsche Hände gerät, danke ich Gott für diesen Instinkt Seit ein paar Jahren weiss ich ja eh, wieso ich diesen Instinkt hatte und ziehe das nun durch

                        Kommentar

                        • #13
                          Ein nettes Bild dazu: http://dl.dropbox.com/u/5878345/gyqHh.jpg

                          Kommentar

                          Vorherige Weiter
                          Lädt...
                          X