Ankündigung

Einklappen
Keine Ankündigung bisher.

[Erledigt] wie sicher sind sessionidś in Bezug auf SQL-Injections

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [Erledigt] wie sicher sind sessionidś in Bezug auf SQL-Injections

    Hallo, ich habe da eine theoretische Frage:
    mal angenommen ich hätte so etwas in einem PHP-Script stehen:
    PHP-Code:
    $abfrage 'SELECT UserName FROM users WHERE UserSession = \'' session_id() . '\'';
    $ergebnis mysql_query($abfrage);
    while(
    $row mysql_fetch_assoc($ergebnis))
        {
        
    $admin $row['UserName'];
        } 
    und mal angenommen jemand würde in sein Cookie z.B. so etwas hinein schreiben:
    Code:
    ' or 0=0 - -
    könnte oder müsste man das noch mit mysql_real_escape_string() maskieren?

    Gruß und vielen Dank schon mal.


  • #2
    der einfachste Weg: Probier es aus!
    Theoretisch ist das machbar, was ich allerdings eher vermute, dass PHP erkennt, dass das ' Zeichen nicht valide in einer Session id ist oder PHP einfach die passende Session nicht findet und eine neue generiert!

    Kommentar


    • #3
      SessionIDs sind Clientdaten und damit unsicher.
      --

      „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
      Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


      --

      Kommentar


      • #4
        Also ich habe es jetzt tatsächlich getestet, bei session_id() scheint es sich um eine PHP-Funktion zu handeln welche das Session-Cookie auf Gültigkeit des Inhaltes überprüft.

        Gültig sind anscheinend nur Zahlen und Buchstaben-Kombinationen.....

        vielen Dank.

        Kommentar


        • #5
          bei session_id() scheint es sich um eine PHP-Funktion zu handeln welche das Session-Cookie auf Gültigkeit des Inhaltes überprüft.
          Nein. [MAN]session_id[/MAN]
          --

          „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
          Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


          --

          Kommentar

          Lädt...
          X