Ankündigung

Einklappen
Keine Ankündigung bisher.

[Erledigt] wie sicher sind sessionidś in Bezug auf SQL-Injections

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [Erledigt] wie sicher sind sessionidś in Bezug auf SQL-Injections

    Hallo, ich habe da eine theoretische Frage:
    mal angenommen ich hätte so etwas in einem PHP-Script stehen:
    PHP-Code:
    $abfrage 'SELECT UserName FROM users WHERE UserSession = \'' session_id() . '\'';
    $ergebnis mysql_query($abfrage);
    while(
    $row mysql_fetch_assoc($ergebnis))
        {
        
    $admin $row['UserName'];
        } 
    und mal angenommen jemand würde in sein Cookie z.B. so etwas hinein schreiben:
    Code:
    ' or 0=0 - -
    könnte oder müsste man das noch mit mysql_real_escape_string() maskieren?

    Gruß und vielen Dank schon mal.

  • #2
    der einfachste Weg: Probier es aus!
    Theoretisch ist das machbar, was ich allerdings eher vermute, dass PHP erkennt, dass das ' Zeichen nicht valide in einer Session id ist oder PHP einfach die passende Session nicht findet und eine neue generiert!

    Kommentar


    • #3
      SessionIDs sind Clientdaten und damit unsicher.
      [COLOR="#F5F5FF"]--[/COLOR]
      [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
      „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
      [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
      [COLOR="#F5F5FF"]
      --[/COLOR]

      Kommentar


      • #4
        Also ich habe es jetzt tatsächlich getestet, bei session_id() scheint es sich um eine PHP-Funktion zu handeln welche das Session-Cookie auf Gültigkeit des Inhaltes überprüft.

        Gültig sind anscheinend nur Zahlen und Buchstaben-Kombinationen.....

        vielen Dank.

        Kommentar


        • #5
          bei session_id() scheint es sich um eine PHP-Funktion zu handeln welche das Session-Cookie auf Gültigkeit des Inhaltes überprüft.
          Nein. [MAN]session_id[/MAN]
          [COLOR="#F5F5FF"]--[/COLOR]
          [COLOR="Gray"][SIZE="6"][FONT="Georgia"][B]^^ O.O[/B][/FONT] [/SIZE]
          „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
          [URL="http://www.php.de/javascript-ajax-und-mehr/107400-draggable-sorttable-setattribute.html#post788799"][B]Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“[/B][/URL][/COLOR]
          [COLOR="#F5F5FF"]
          --[/COLOR]

          Kommentar

          Lädt...
          X