login  Naam:   Wachtwoord: 
Registreer je!
 Forum

externe SQL injection voorkomen

Offline killerwhale6 - 29/09/2007 16:16
Avatar van killerwhale6Nieuw lid hoi,

ik weet niet of externe sql injection de juiste term is, maar ik bedoel iets als:
www.mijnwebsite.be/index.php?file=http://www.stoutesite.be/sqlscript.php

hoe kan dit vermeden worden? Ik ben hier even aan het nalezen over sql injection en header injection en heb al veel goede tips gelezen, maar deze zit me nog dwars.

thanks!

Matt

6 antwoorden

Gesponsorde links
Offline Koen - 29/09/2007 16:18
Avatar van Koen PHP expert PHP.net: switch gebruiken wanneer je paginas include?
dan bepaal jij wat er wordt geinclude en wat niet.
Offline kenzo - 29/09/2007 16:20
Avatar van kenzo PHP beginner
php code - Bekijk de code zonder highlighting - Klap code in 
  1. if(file_exists($_GET['file']))
  2. include ($_GET['file'])


gewoon (if exist erbij)
Offline Koen - 29/09/2007 16:26
Avatar van Koen PHP expert
kenzo schreef:
[..code..]

gewoon (if exist erbij)

dan kan je nog steeds 'kwade' bestanden includen, denk maar aan index.php zelf, dat voor een oneindige loop zorgt, waarmee je dan weer veel bandwidth verspeelt..
Offline kenzo - 29/09/2007 16:33
Avatar van kenzo PHP beginner ok, maar met switch moet je wel iedere pagina zelf toevoegen en dat kan (zeker voor grote sites) ook weer een probleem zijn
Offline DMM - 29/09/2007 16:43
Avatar van DMM PHP beginner
Citaat:
ok, maar met switch moet je wel iedere pagina zelf toevoegen en dat kan (zeker voor grote sites) ook weer een probleem zijn


Kun je de namen van je pagina niet uit je database halen, en vervolgens gebruik maken van wile en switch?
Offline killerwhale6 - 29/09/2007 16:47
Avatar van killerwhale6 Nieuw lid ok, maar twas niet echt dat wat ik bedoelde, maar eerder een sql injectie met code op die externe site.

Dus als ik de variabele $_GET['file'] nu gebruik om een query op te bouwen, kan dit dan niet misgaan? Of is het gebruik van mysql_real_escape_string hier voldoende?
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.178s