login  Naam:   Wachtwoord: 
Registreer je!
 Forum

SQL injection (Opgelost)

Offline qubus - 24/10/2011 20:09
Avatar van qubusLid Hallo,

Ik laat mijn website onderzoeken op veiligheid door het programma 'Websecurify scanner'. Deze geeft het volgende aan:
'SQL Injection (SQLI) is a code injection technique that exploits a security vulnerability occurring in the database layer of a web application. The vulnerability was present when user input was either incorrectly filtered for string literal escape characters embedded in SQL statements or user input was not strongly typed and thereby unexpectedly executed.
solution: Sanitize all user-supplied data before using it as part of database queries.'

Hij geeft dit aan op de volgende URL:
GET http://www.*****.nl/index.php?pagina=standaard_groep&cat=9&groep_id='%60%22xEsOS HTTP/1.1

Nu moet 'groep_id' een nummer zijn, ik controleer dat vooraf alsvolgt:
  1. if (isset($_GET['groep_id']) && !ctype_digit($_GET['groep_id'])) {
  2. exit();
  3. } else {
  4. // code die uitgevoerd moet worden
  5. }


Toch blijft hij deze boodschap geven... iemand een idee waar het veiligheidslek dan in kan zitten, of maak ik me druk om niets?

Alvast bedankt,

Mark

1 antwoord

Gesponsorde links
Offline vinTage - 24/10/2011 20:24
Avatar van vinTage Nieuw lid
Citaat:
GET http://www.*****.nl/index.php?pagina=standaard_groep&cat=9&groep_id='%60%22xEsOS HTTP/1.1


Lijkt me niet dat dat goedgekeurd moet worden??
Gesponsorde links
Je moet ingelogd zijn om een reactie te kunnen posten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.219s