Ankündigung

Einklappen
Keine Ankündigung bisher.

[Erledigt] wie sicher sind sessionidś in Bezug auf SQL-Injections

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [Erledigt] wie sicher sind sessionidś in Bezug auf SQL-Injections

    Hallo, ich habe da eine theoretische Frage:
    mal angenommen ich hätte so etwas in einem PHP-Script stehen:
    PHP-Code:
    $abfrage 'SELECT UserName FROM users WHERE UserSession = \'' session_id() . '\'';
    $ergebnis mysql_query($abfrage);
    while(
    $row mysql_fetch_assoc($ergebnis))
        {
        
    $admin $row['UserName'];
        } 
    und mal angenommen jemand würde in sein Cookie z.B. so etwas hinein schreiben:
    Code:
    ' or 0=0 - -
    könnte oder müsste man das noch mit mysql_real_escape_string() maskieren?

    Gruß und vielen Dank schon mal.

  • nikosch
    antwortet
    bei session_id() scheint es sich um eine PHP-Funktion zu handeln welche das Session-Cookie auf Gültigkeit des Inhaltes überprüft.
    Nein. [MAN]session_id[/MAN]

    Einen Kommentar schreiben:


  • vrabac
    antwortet
    Also ich habe es jetzt tatsächlich getestet, bei session_id() scheint es sich um eine PHP-Funktion zu handeln welche das Session-Cookie auf Gültigkeit des Inhaltes überprüft.

    Gültig sind anscheinend nur Zahlen und Buchstaben-Kombinationen.....

    vielen Dank.

    Einen Kommentar schreiben:


  • nikosch
    antwortet
    SessionIDs sind Clientdaten und damit unsicher.

    Einen Kommentar schreiben:


  • Papst
    antwortet
    der einfachste Weg: Probier es aus!
    Theoretisch ist das machbar, was ich allerdings eher vermute, dass PHP erkennt, dass das ' Zeichen nicht valide in einer Session id ist oder PHP einfach die passende Session nicht findet und eine neue generiert!

    Einen Kommentar schreiben:

Lädt...
X