DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Dat zou ook kunnen? Oh god...quote:Op zaterdag 21 april 2012 14:23 schreef Pakspul het volgende:
[..]
Wees blij dat er nog geen grapjas is geweest die een DELETE statement heeft uitgevoerd
Als je input niet filtert en direct in een query gooit, kan iedereen elke query uitvoeren die 'ie maar wil.quote:
Zie ook het stripje over Bobby Tables dat ik in het vorige topic had gepost. Dat kan letterlijk gebeuren met dit soort code.
Dat lijkt alweer een stuk beterquote:
http://kledingmerken.jdx.nl/single.php?id=9%20or%201%3D1
Yup, en dingen inserten. Allemaal mogelijk. Maak daarom ook maar een backup van je database.quote:
Niet altijd serieus
Slim is om nog een extra controle toe te voegen. Zodat ID ook daadwerkelijk een integer is (liefste unsigned uiteraad, maar integer eerst is al voldoende).quote:
http://kledingmerken.jdx.nl/single.php?id=9%20or%201%3D1
Daarom ook geen CMS bouwen als je stiekem eigenlijk niet weet wat je doet 
Er zijn er genoeg die al een heel stuk veiliger van zichzelf zijn.. Maargoed, dat is mijn mening.
Er zijn er genoeg die al een heel stuk veiliger van zichzelf zijn.. Maargoed, dat is mijn mening.
I'm not good with advice.. Can i interest you in a sarcastic comment?
Gelukkig zijn de meeste dingen die ik gemaakt heb interne tools op ons interne netwerk, maar heb dus ook een paar dingen gemaakt voor externe bedrijven, gelukkig gaat het veelal om int-en / int's ?
Dus kan veel al beveiligen door die intval() toe te passen.
Dus kan veel al beveiligen door die intval() toe te passen.
Zo te zien wordt nu intval() gebruikt. Dan krijg je 0 als je met tekst begint, niets spannends verder.quote:
[..]
Slim is om nog een extra controle toe te voegen. Zodat ID ook daadwerkelijk een integer is (liefste unsigned uiteraad, maar integer eerst is al voldoende).
Als je dit aan klanten gelevert hebt, zou ik ze maar heel snel op gaan bellen dat ze als een malle hun websites uit de lucht halen, voordat je volgende week op tweakers staat.quote:
Gelukkig zijn de meeste dingen die ik gemaakt heb interne tools op ons interne netwerk, maar heb dus ook een paar dingen gemaakt voor externe bedrijven, gelukkig gaat het veelal om int-en / int's ?
Dus kan veel al beveiligen door die intval() toe te passen.
Ergste is denk ik mijn rooster software, een groot restaurant plant al zijn medewerkers in doormiddel van dit rooster, maar op die database draait bijvoorbeeld ook het kassa systeem, die draait op een site waar je gelukkig wel eerst moet inloggen om op te komen, maar goed, blijft link.
Realiseer je wel dat het pas veilig is wanneer letterlijk elke user input gecheckt is. Al is er maar 1 plek waar je het vergeet, dan kan iemand via die plek alsnog je hele database manipuleren.quote:
Dus kan veel al beveiligen door die intval() toe te passen.
Wat is er toch ook een tuig op de wereld, ik zie altijd het goede, nooit de mogelijkheid om misbruik te maken.quote:Op zaterdag 21 april 2012 14:30 schreef Tijn het volgende:
[..]
Realiseer je wel dat het pas veilig is wanneer letterlijk elke user input gecheckt is. Al is er maar 1 plek waar je het vergeet, dan kan iemand via die plek alsnog je hele database manipuleren.
Dat maakt dus niet uit. Als het op dezelfde database draait, kan iedere malloot daar nu gewoon bij.quote:
Ergste is denk ik mijn rooster software, een groot restaurant plant al zijn medewerkers in doormiddel van dit rooster, maar op die database draait bijvoorbeeld ook het kassa systeem, die draait op een site waar je gelukkig wel eerst moet inloggen om op te komen, maar goed, blijft link.
quote:
[..]
Wat is er toch ook een tuig op de wereld, ik zie altijd het goede, nooit de mogelijkheid om misbruik te maken.
Dan ben je wel heel naief.
Het ligt niet aan het tuig, je moet gewoon robuuste software maken. Hackers helpen je juist om betere code te schrijven.quote:
[..]
Wat is er toch ook een tuig op de wereld, ik zie altijd het goede, nooit de mogelijkheid om misbruik te maken.
Misschien is het ook handig om wat vakliteratuur te gaan lezen, want het is echt schokkend dat je hier nu pas achter komt. SQL-injecties zijn al heel erg lang bekend.
Gewoon niet aan gedacht dat mensen er eventueel misbruik van kunnen maken.quote:
Op Alles geleerd als hobby. Weet alleen wat ik nodig had om m'n sites werkend te krijgen en toen aangenomen toen ze mijn software zagen (niet de code).quote:Op zaterdag 21 april 2012 14:33 schreef Tijn het volgende:
[..]
Het ligt niet aan het tuig, je moet gewoon robuuste software maken. Hackers helpen je juist om betere code te schrijven.
Misschien is het ook handig om wat vakliteratuur te gaan lezen, want het is echt schokkend dat je hier nu pas achter komt. SQL-injecties zijn al heel erg lang bekend.
Creatief gebruik van het woord "gewoon".quote:
[..]
Gewoon niet aan gedacht dat mensen er eventueel misbruik van kunnen maken.
Ja ik werk er nog niet zo lang en toen ik er kwam kende ik alleen hobby matig PHP.
Ik pas dingen aan van allerlei vorige medewerkers, alles is geschreven in verschillende talen. Ene keer VBscript, dan weer C#, dan weer ASP.NET, laatst dus iets in PHP, etc...
Het is steeds, kan je snel ff dit aanpassen? Dit tooltje werkt niet meer, kun je daar naar kijken? Etc.
Zal van af nu ook rekening houden met de mogelijkheid tot hacken.
Ik pas dingen aan van allerlei vorige medewerkers, alles is geschreven in verschillende talen. Ene keer VBscript, dan weer C#, dan weer ASP.NET, laatst dus iets in PHP, etc...
Het is steeds, kan je snel ff dit aanpassen? Dit tooltje werkt niet meer, kun je daar naar kijken? Etc.
Zal van af nu ook rekening houden met de mogelijkheid tot hacken.
Overigens ook niet erg professioneel van dat bedrijf waar je werkt dat je code blijkbaar nooit is gereviewed.
Wel pijnlijk om te lezen ja.. als ik dit als excuus had gebruikt dan had ik klappen gekregen van mijn collega's 
Nee ik ben aangenomen omdat alle programmeurs zijn gestopt of ontslagen. Ze hadden niemand meer die dit kon en konden niemand vindenquote:
Overigens ook niet erg professioneel van dat bedrijf waar je werkt dat je code blijkbaar nooit is gereviewed.
Probeer de boel op orde te krijgen nu, door dit topic ook een stuk veiliger dus.
Ik was grafisch vormgever/webdeveloper bij een reclamebureau, ben vanuit hobby overgestapt naar Software Developer.
