Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Weitere Hacks: Sonys nicht endender…

SQL-Injection

  1. Thema

Neues Thema Ansicht wechseln


  1. SQL-Injection

    Autor: Anonymer Nutzer 24.05.11 - 13:35

    zeigt fuer Leute, die sich damit auskennen, dass nicht die Hacker die gefaehrlichen, boesen Unbekannten sind, sondern die Softwareentwickler der Webseite keine Ahnung von dem hatten, was sie tun...

    Das zeigt wieder einmal ganz deutlich: Sony legt es nicht nur mit Urheberrechtsfanatismus und Rechtsstreitigkeiten auf Racheakte an, sie haben auch kein gescheites Personal, welches irgendwelche Rechte und das Image, was Sony weitlaeufig hat, rechtfertigen wuerde.

  2. Re: SQL-Injection

    Autor: Hanmac 24.05.11 - 14:29

    es gibt einen einfachen befehl: mysql_real_escape_string man jage jede benutzereingabe dadurch und schon ist das problem solved

  3. Re: SQL-Injection

    Autor: antares 24.05.11 - 14:46

    Vielleicht sollte sich sony umbenennen?
    Oracle Japan für den Anfang?

    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
    'touch /dev/breasts' macht root zum Sex-Offender
    ******
    macht aus nutzern raubmordhörer ohne klickibuntigui!

  4. das sagt schon alles

    Autor: azeu 24.05.11 - 15:26

    man sollte meinen, dass ein Konzern wie Sony

    - sich anständige Entwickler leisten kann
    - sich um seine Kundendaten ordentlich kümmert

    DU bist ...

  5. Re: SQL-Injection

    Autor: Anonymer Nutzer 24.05.11 - 15:28

    Hanmac schrieb:
    --------------------------------------------------------------------------------
    > es gibt einen einfachen befehl: mysql_real_escape_string man jage jede
    > benutzereingabe dadurch und schon ist das problem solved

    Wer das verwendet gehört erschlagen, so komische Konstrukte sind schuld für den schlechten Ruf von PHP.

    1.) *Alle* Eingabedaten filtern und validieren, wenn ich eine Zahl erwarte darf kein ;DROP durchkommen.

    2.) Prepared Statements verwenden, mal PDO anschauen.

    3.) Besser noch ein Framework verwenden, welches einem diese Arbeit abnimmt oder erleichtert.



    1 mal bearbeitet, zuletzt am 24.05.11 15:29 durch lolig.

  6. Recht hast

    Autor: azeu 24.05.11 - 15:33

    SQL-Statements "führt" man heute gar nicht mehr aus, sondern lässt diese über Methoden "generieren". Wie schon bereits schon mit PDO, Prepared Statements angesprochen hast.

    SQL-Statements direkt mit User-Input befüllen und an die DB durchwinken ist heutzutage ein absolutes NO-GO. Wer sowas macht gehört fristlos entlassen!

    DU bist ...

  7. Re: SQL-Injection

    Autor: Mister Tengu 24.05.11 - 15:42

    jep, Drupal z.B.

  8. Re: SQL-Injection

    Autor: Anonymer Nutzer 24.05.11 - 15:46

    Mister Tengu schrieb:
    --------------------------------------------------------------------------------
    > jep, Drupal z.B.

    Drupal ist kein Framework sondern ein CMS. ;)

    Framework wäre z.B. Zend Framework ( allrounder ) oder Doctrine ( DB/ORM )

  9. Re: das sagt schon alles

    Autor: spanther 24.05.11 - 16:42

    azeu schrieb:
    --------------------------------------------------------------------------------
    > man sollte meinen, dass ein Konzern wie Sony
    >
    > - sich anständige Entwickler leisten kann
    > - sich um seine Kundendaten ordentlich kümmert

    Eben! Aber Pustekuchen is... <.<

  10. Re: SQL-Injection

    Autor: Mister Tengu 24.05.11 - 16:47

    Och wir verwenden es als Framework. Inhalt ist da schon fast nebensächlich.

  11. Re: Recht hast

    Autor: antares 24.05.11 - 17:08

    azeu schrieb:
    --------------------------------------------------------------------------------
    > SQL-Statements "führt" man heute gar nicht mehr aus, sondern lässt diese
    > über Methoden "generieren". Wie schon bereits schon mit PDO, Prepared
    > Statements angesprochen hast.

    ihr mit euren ewigen abstraction layers. Ich hoffe dass ihr irgendwann in einer welt mit einem broken framework aufwacht, in der keiner mehr die statements kennt, um es zu fixen. Mal ernsthaft, wenn man sich ein wenig beisammen nimmt, lässt sich mit direktem SQL viel eleganter arbeiten

    > SQL-Statements direkt mit User-Input befüllen und an die DB durchwinken ist
    > heutzutage ein absolutes NO-GO. Wer sowas macht gehört fristlos entlassen!

    Auch das ist natürlich wahr. Aber die verifikation von benutzereingaben wird einem heutzutage ja leider nicht mal mehr beigebracht, nach dem Motto: Es wird schon eine exception geben!

    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
    'touch /dev/breasts' macht root zum Sex-Offender
    ******
    macht aus nutzern raubmordhörer ohne klickibuntigui!

  12. Re: Recht hast

    Autor: benji83 24.05.11 - 17:58

    Hast völlig recht! Am besten wir Programmieren alle mit Assembler und lassen diese dämlichen Abstraktionsschichten weg.

  13. Re: SQL-Injection

    Autor: Anonymer Nutzer 24.05.11 - 22:39

    Ja man kann es natürlich auch als "Framework" für die dort ausgeführten Plugins sehen, da bietet Drupal dank Erweiterbarkeit ja viele Anwendungsmöglichkeiten.

  14. Re: Recht hast

    Autor: Anonymer Nutzer 24.05.11 - 22:47

    antares schrieb:
    --------------------------------------------------------------------------------

    > ihr mit euren ewigen abstraction layers. Ich hoffe dass ihr irgendwann in
    > einer welt mit einem broken framework aufwacht, in der keiner mehr die
    > statements kennt, um es zu fixen. Mal ernsthaft, wenn man sich ein wenig
    > beisammen nimmt, lässt sich mit direktem SQL viel eleganter arbeiten

    Viel Spaß mit der Portabilität wenn Du alles selber/direkt schreiben magst.

    Abstraktionsschichten erleichtern einem die Arbeit enorm und die Zeit das Rad jedes mal neu zu erfinden hat man seltenst.

  15. Re: Recht hast

    Autor: GodsBoss 25.05.11 - 09:07

    > > SQL-Statements "führt" man heute gar nicht mehr aus, sondern lässt diese
    > > über Methoden "generieren". Wie schon bereits schon mit PDO, Prepared
    > > Statements angesprochen hast.
    >
    > ihr mit euren ewigen abstraction layers. Ich hoffe dass ihr irgendwann in
    > einer welt mit einem broken framework aufwacht, in der keiner mehr die
    > statements kennt, um es zu fixen. Mal ernsthaft, wenn man sich ein wenig
    > beisammen nimmt, lässt sich mit direktem SQL viel eleganter arbeiten

    Auch wenn man die SQL-Statements direkt schreibt, kann man Prepared Statements verwenden. Aber woher sollte plötzlich eine Welt mit einem „broken Framework“ kommen?

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadt Leipzig Neues Rathaus, Leipzig
  2. Olympus Soft Imaging Solutions GmbH, Münster
  3. CBM Christoffel-Blindenmission Deutschland e.V., Bensheim
  4. GFA SysCom GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. mit Gutschein: NBBX570


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

Pixel 4 XL im Test: Da geht noch mehr
Pixel 4 XL im Test
Da geht noch mehr

Mit dem Pixel 4 XL adaptiert Google als einer der letzten Hersteller eine Dualkamera, die Bilder des neuen Smartphones profitieren weiterhin auch von guten Algorithmen. Aushängeschild des neuen Pixel-Gerätes bleibt generell die Software, Googles Hardware-Entscheidungen finden wir zum Teil aber nicht sinnvoll.
Ein Test von Tobias Költzsch

  1. Pixel 4 Google will Gesichtsentsperrung sicher machen
  2. Google Pixel 4 entsperrt auch bei geschlossenen Augen
  3. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

  1. Konzeptstudio: Toyota zeigt futuristisches Elektroauto von Lexus
    Konzeptstudio
    Toyota zeigt futuristisches Elektroauto von Lexus

    Die Luxusmarke von Toyota will im kommenden Monat ihr erstes vollelektrisches Auto präsentieren. So ungewöhnlich wie der nun gezeigte Lexus LF-30 Electrified Concept dürfte das Serienmodell aber nicht aussehen.

  2. Quartalsbericht: Microsoft steigert Gewinn und Umsatz zweistellig
    Quartalsbericht
    Microsoft steigert Gewinn und Umsatz zweistellig

    Microsoft hat wie erwartet starkes Wachstum bei Umsatz und Gewinn verzeichnet. Der Softwarekonzern erreichte eine Marktkapitalisierung von 1,056 Billionen US-Dollar. Das Cloudgeschäft legt wieder massiv zu.

  3. Kongress-Anhörung: Zuckerberg will Zustimmung der USA zu Libra abwarten
    Kongress-Anhörung
    Zuckerberg will Zustimmung der USA zu Libra abwarten

    Mark Zuckerberg muss den US-Abgeordneten Rede und Antwort zur Digitalwährung Libra stehen. Der Facebook-Chef warnt vor einem Bedeutungsverlust der US-Finanzwirtschaft bei einer Blockade des Projekts.


  1. 07:13

  2. 22:46

  3. 19:16

  4. 19:01

  5. 17:59

  6. 17:45

  7. 17:20

  8. 16:55