Dat zou ook kunnen? Oh god...quote:Op zaterdag 21 april 2012 14:23 schreef Pakspul het volgende:
[..]
Wees blij dat er nog geen grapjas is geweest die een DELETE statement heeft uitgevoerd
Als je input niet filtert en direct in een query gooit, kan iedereen elke query uitvoeren die 'ie maar wil.quote:
Dat lijkt alweer een stuk beterquote:Op zaterdag 21 april 2012 14:23 schreef JDx het volgende:
http://kledingmerken.jdx.nl/single.php?id=9%20or%201%3D1
Yup, en dingen inserten. Allemaal mogelijk. Maak daarom ook maar een backup van je database.quote:
Slim is om nog een extra controle toe te voegen. Zodat ID ook daadwerkelijk een integer is (liefste unsigned uiteraad, maar integer eerst is al voldoende).quote:Op zaterdag 21 april 2012 14:23 schreef JDx het volgende:
http://kledingmerken.jdx.nl/single.php?id=9%20or%201%3D1
Zo te zien wordt nu intval() gebruikt. Dan krijg je 0 als je met tekst begint, niets spannends verder.quote:Op zaterdag 21 april 2012 14:25 schreef Pakspul het volgende:
[..]
Slim is om nog een extra controle toe te voegen. Zodat ID ook daadwerkelijk een integer is (liefste unsigned uiteraad, maar integer eerst is al voldoende).
Als je dit aan klanten gelevert hebt, zou ik ze maar heel snel op gaan bellen dat ze als een malle hun websites uit de lucht halen, voordat je volgende week op tweakers staat.quote:Op zaterdag 21 april 2012 14:26 schreef JDx het volgende:
Gelukkig zijn de meeste dingen die ik gemaakt heb interne tools op ons interne netwerk, maar heb dus ook een paar dingen gemaakt voor externe bedrijven, gelukkig gaat het veelal om int-en / int's ?
Dus kan veel al beveiligen door die intval() toe te passen.
Realiseer je wel dat het pas veilig is wanneer letterlijk elke user input gecheckt is. Al is er maar 1 plek waar je het vergeet, dan kan iemand via die plek alsnog je hele database manipuleren.quote:Op zaterdag 21 april 2012 14:26 schreef JDx het volgende:
Dus kan veel al beveiligen door die intval() toe te passen.
Wat is er toch ook een tuig op de wereld, ik zie altijd het goede, nooit de mogelijkheid om misbruik te maken.quote:Op zaterdag 21 april 2012 14:30 schreef Tijn het volgende:
[..]
Realiseer je wel dat het pas veilig is wanneer letterlijk elke user input gecheckt is. Al is er maar 1 plek waar je het vergeet, dan kan iemand via die plek alsnog je hele database manipuleren.
Dat maakt dus niet uit. Als het op dezelfde database draait, kan iedere malloot daar nu gewoon bij.quote:Op zaterdag 21 april 2012 14:29 schreef JDx het volgende:
Ergste is denk ik mijn rooster software, een groot restaurant plant al zijn medewerkers in doormiddel van dit rooster, maar op die database draait bijvoorbeeld ook het kassa systeem, die draait op een site waar je gelukkig wel eerst moet inloggen om op te komen, maar goed, blijft link.
Dan ben je wel heel naief.quote:Op zaterdag 21 april 2012 14:31 schreef JDx het volgende:
[..]
Wat is er toch ook een tuig op de wereld, ik zie altijd het goede, nooit de mogelijkheid om misbruik te maken.
Het ligt niet aan het tuig, je moet gewoon robuuste software maken. Hackers helpen je juist om betere code te schrijven.quote:Op zaterdag 21 april 2012 14:31 schreef JDx het volgende:
[..]
Wat is er toch ook een tuig op de wereld, ik zie altijd het goede, nooit de mogelijkheid om misbruik te maken.
Gewoon niet aan gedacht dat mensen er eventueel misbruik van kunnen maken.quote:
Alles geleerd als hobby. Weet alleen wat ik nodig had om m'n sites werkend te krijgen en toen aangenomen toen ze mijn software zagen (niet de code).quote:Op zaterdag 21 april 2012 14:33 schreef Tijn het volgende:
[..]
Het ligt niet aan het tuig, je moet gewoon robuuste software maken. Hackers helpen je juist om betere code te schrijven.
Misschien is het ook handig om wat vakliteratuur te gaan lezen, want het is echt schokkend dat je hier nu pas achter komt. SQL-injecties zijn al heel erg lang bekend.
Creatief gebruik van het woord "gewoon".quote:Op zaterdag 21 april 2012 14:34 schreef JDx het volgende:
[..]
Gewoon niet aan gedacht dat mensen er eventueel misbruik van kunnen maken.
Nee ik ben aangenomen omdat alle programmeurs zijn gestopt of ontslagen. Ze hadden niemand meer die dit kon en konden niemand vindenquote:Op zaterdag 21 april 2012 14:40 schreef Tijn het volgende:
Overigens ook niet erg professioneel van dat bedrijf waar je werkt dat je code blijkbaar nooit is gereviewed.
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |