Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Weitere Hacks: Sonys nicht endender…

SQL-Injection

  1. Thema

Neues Thema Ansicht wechseln


  1. SQL-Injection

    Autor: Anonymer Nutzer 24.05.11 - 13:35

    zeigt fuer Leute, die sich damit auskennen, dass nicht die Hacker die gefaehrlichen, boesen Unbekannten sind, sondern die Softwareentwickler der Webseite keine Ahnung von dem hatten, was sie tun...

    Das zeigt wieder einmal ganz deutlich: Sony legt es nicht nur mit Urheberrechtsfanatismus und Rechtsstreitigkeiten auf Racheakte an, sie haben auch kein gescheites Personal, welches irgendwelche Rechte und das Image, was Sony weitlaeufig hat, rechtfertigen wuerde.

  2. Re: SQL-Injection

    Autor: Hanmac 24.05.11 - 14:29

    es gibt einen einfachen befehl: mysql_real_escape_string man jage jede benutzereingabe dadurch und schon ist das problem solved

  3. Re: SQL-Injection

    Autor: antares 24.05.11 - 14:46

    Vielleicht sollte sich sony umbenennen?
    Oracle Japan für den Anfang?

    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
    'touch /dev/breasts' macht root zum Sex-Offender
    ******
    macht aus nutzern raubmordhörer ohne klickibuntigui!

  4. das sagt schon alles

    Autor: azeu 24.05.11 - 15:26

    man sollte meinen, dass ein Konzern wie Sony

    - sich anständige Entwickler leisten kann
    - sich um seine Kundendaten ordentlich kümmert

    ... OVER ...

  5. Re: SQL-Injection

    Autor: Anonymer Nutzer 24.05.11 - 15:28

    Hanmac schrieb:
    --------------------------------------------------------------------------------
    > es gibt einen einfachen befehl: mysql_real_escape_string man jage jede
    > benutzereingabe dadurch und schon ist das problem solved

    Wer das verwendet gehört erschlagen, so komische Konstrukte sind schuld für den schlechten Ruf von PHP.

    1.) *Alle* Eingabedaten filtern und validieren, wenn ich eine Zahl erwarte darf kein ;DROP durchkommen.

    2.) Prepared Statements verwenden, mal PDO anschauen.

    3.) Besser noch ein Framework verwenden, welches einem diese Arbeit abnimmt oder erleichtert.



    1 mal bearbeitet, zuletzt am 24.05.11 15:29 durch lolig.

  6. Recht hast

    Autor: azeu 24.05.11 - 15:33

    SQL-Statements "führt" man heute gar nicht mehr aus, sondern lässt diese über Methoden "generieren". Wie schon bereits schon mit PDO, Prepared Statements angesprochen hast.

    SQL-Statements direkt mit User-Input befüllen und an die DB durchwinken ist heutzutage ein absolutes NO-GO. Wer sowas macht gehört fristlos entlassen!

    ... OVER ...

  7. Re: SQL-Injection

    Autor: Mister Tengu 24.05.11 - 15:42

    jep, Drupal z.B.

  8. Re: SQL-Injection

    Autor: Anonymer Nutzer 24.05.11 - 15:46

    Mister Tengu schrieb:
    --------------------------------------------------------------------------------
    > jep, Drupal z.B.

    Drupal ist kein Framework sondern ein CMS. ;)

    Framework wäre z.B. Zend Framework ( allrounder ) oder Doctrine ( DB/ORM )

  9. Re: das sagt schon alles

    Autor: spanther 24.05.11 - 16:42

    azeu schrieb:
    --------------------------------------------------------------------------------
    > man sollte meinen, dass ein Konzern wie Sony
    >
    > - sich anständige Entwickler leisten kann
    > - sich um seine Kundendaten ordentlich kümmert

    Eben! Aber Pustekuchen is... <.<

  10. Re: SQL-Injection

    Autor: Mister Tengu 24.05.11 - 16:47

    Och wir verwenden es als Framework. Inhalt ist da schon fast nebensächlich.

  11. Re: Recht hast

    Autor: antares 24.05.11 - 17:08

    azeu schrieb:
    --------------------------------------------------------------------------------
    > SQL-Statements "führt" man heute gar nicht mehr aus, sondern lässt diese
    > über Methoden "generieren". Wie schon bereits schon mit PDO, Prepared
    > Statements angesprochen hast.

    ihr mit euren ewigen abstraction layers. Ich hoffe dass ihr irgendwann in einer welt mit einem broken framework aufwacht, in der keiner mehr die statements kennt, um es zu fixen. Mal ernsthaft, wenn man sich ein wenig beisammen nimmt, lässt sich mit direktem SQL viel eleganter arbeiten

    > SQL-Statements direkt mit User-Input befüllen und an die DB durchwinken ist
    > heutzutage ein absolutes NO-GO. Wer sowas macht gehört fristlos entlassen!

    Auch das ist natürlich wahr. Aber die verifikation von benutzereingaben wird einem heutzutage ja leider nicht mal mehr beigebracht, nach dem Motto: Es wird schon eine exception geben!

    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
    'touch /dev/breasts' macht root zum Sex-Offender
    ******
    macht aus nutzern raubmordhörer ohne klickibuntigui!

  12. Re: Recht hast

    Autor: benji83 24.05.11 - 17:58

    Hast völlig recht! Am besten wir Programmieren alle mit Assembler und lassen diese dämlichen Abstraktionsschichten weg.

  13. Re: SQL-Injection

    Autor: Anonymer Nutzer 24.05.11 - 22:39

    Ja man kann es natürlich auch als "Framework" für die dort ausgeführten Plugins sehen, da bietet Drupal dank Erweiterbarkeit ja viele Anwendungsmöglichkeiten.

  14. Re: Recht hast

    Autor: Anonymer Nutzer 24.05.11 - 22:47

    antares schrieb:
    --------------------------------------------------------------------------------

    > ihr mit euren ewigen abstraction layers. Ich hoffe dass ihr irgendwann in
    > einer welt mit einem broken framework aufwacht, in der keiner mehr die
    > statements kennt, um es zu fixen. Mal ernsthaft, wenn man sich ein wenig
    > beisammen nimmt, lässt sich mit direktem SQL viel eleganter arbeiten

    Viel Spaß mit der Portabilität wenn Du alles selber/direkt schreiben magst.

    Abstraktionsschichten erleichtern einem die Arbeit enorm und die Zeit das Rad jedes mal neu zu erfinden hat man seltenst.

  15. Re: Recht hast

    Autor: GodsBoss 25.05.11 - 09:07

    > > SQL-Statements "führt" man heute gar nicht mehr aus, sondern lässt diese
    > > über Methoden "generieren". Wie schon bereits schon mit PDO, Prepared
    > > Statements angesprochen hast.
    >
    > ihr mit euren ewigen abstraction layers. Ich hoffe dass ihr irgendwann in
    > einer welt mit einem broken framework aufwacht, in der keiner mehr die
    > statements kennt, um es zu fixen. Mal ernsthaft, wenn man sich ein wenig
    > beisammen nimmt, lässt sich mit direktem SQL viel eleganter arbeiten

    Auch wenn man die SQL-Statements direkt schreibt, kann man Prepared Statements verwenden. Aber woher sollte plötzlich eine Welt mit einem „broken Framework“ kommen?

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. Vodafone GmbH, Düsseldorf
  3. Dortmunder Energie- und Wasserversorgung GmbH DEW21, Dortmund
  4. BWI GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 114,99€
  2. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)
  3. 169,00€
  4. 54,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bug Bounty Hunter: Mit Hacker 101-Tutorials zum Millionär
Bug Bounty Hunter
Mit "Hacker 101"-Tutorials zum Millionär

Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.
Ein Interview von Maja Hoock

  1. White Hat Hacking In unter zwei Stunden in Universitätsnetzwerke gelangen

Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
    Strom-Boje Mittelrhein
    Schwimmende Kraftwerke liefern Strom aus dem Rhein

    Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

    1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
    2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
    3. Erneuerbare Energien Wellenkraft als Konzentrat

    1. Huawei-Gründer: Seine Familie nutzt weiter Apple-Produkte
      Huawei-Gründer
      Seine Familie nutzt weiter Apple-Produkte

      Huawei-Chef Ren Zhengfei und seine Familie nutzen trotz US-Boykott privat weiter Apple-Produkte. Zudem sind Details zu einem eigenen Betriebssystem bekanntgeworden.

    2. Ancestors The Humankind Odyssey: Die Evolution der Menschheit beginnt August 2019
      Ancestors The Humankind Odyssey
      Die Evolution der Menschheit beginnt August 2019

      Am 27. August 2019 erscheint mit Ancestors - The Humankind Odyssey ein Titel, der eine Zeitspanne von Millionen Jahren umfasst: Der Spieler steuert eine Gruppe Primaten und lenkt deren Geschicke durch die Evolution der Menschheit. Ancestors für PC ist Epic-exklusiv für ein Jahr.

    3. CD Projekt: Gog Galaxy 2.0 soll PC- und Konsolenspieler zusammenbringen
      CD Projekt
      Gog Galaxy 2.0 soll PC- und Konsolenspieler zusammenbringen

      Epic Games Store, Origin oder Steam - egal: Das Entwicklerstudio CD Projekt hat Version 2.0 von Gog Galaxy angekündigt. Erfolge und Spielzeiten sowie andere Daten sollen auf Wunsch auch von Konsolen erfasst werden.


    1. 11:42

    2. 11:26

    3. 11:20

    4. 11:12

    5. 10:47

    6. 10:35

    7. 10:22

    8. 10:05