Blind SQL Injection

**ArSeN** · 03.09.2007, 20:06

mysql_real_escape_string()

**Seggl-hoch-drei** · 03.09.2007, 20:22

Original geschrieben von ArSeN
mysql_real_escape_string()

bringt leider nix :-( weil bei blinden injektionen keine quotes verwendet werden

**ArSeN** · 03.09.2007, 20:27

Hab mir nur grad bei wiki durchgelesen was blinde überhaupt sind

Kannste mal n Beispiel geben vielleicht?

**TobiaZ** · 03.09.2007, 20:34

welche möglichkeit willst du denn abfangen, die du nicht bereits mit mit nem (int)-cast zunichte machen kannst?

**Seggl-hoch-drei** · 03.09.2007, 20:38

ich will alles, was auch nur im geringsten gefährlich ist, verbieten.

was sind int-casts?

**Seggl-hoch-drei** · 03.09.2007, 20:39

Original geschrieben von ArSeN
Hab mir nur grad bei wiki durchgelesen was blinde überhaupt sind Kannste mal n Beispiel geben vielleicht?

das steht in nem andren thread von mir... der heisst virtual-meetings.de

kannst ja mal danach suchen ;-)
EDIT: http://www.php-resource.de/forum/sho...threadid=86658

**TobiaZ** · 03.09.2007, 20:41

$int = (int)$input;

**Seggl-hoch-drei** · 03.09.2007, 20:43

Original geschrieben von TobiaZ
$int = (int)$input;

ahh... danke :-)

aber wie kann ich den ganzen rest filtern?

**TobiaZ** · 03.09.2007, 20:51

Zwei Leute haben dich gebeten, ein konkretes Beispiel zu nennen.

Alle deine Threads fragen einfach ins blaue. Du hast offensichtlich keinen Bock dich ausreichend selbst damit zu beschäftigen und zu das ganze zu studieren, vielmehr wartest du darauf, dass man dir den Input in den Kopf ballert. Schule ist vorbei!!!

Also?

**Seggl-hoch-drei** · 03.09.2007, 22:09

es gibt kein konkretes beispiel.
ich will einfach wissen, wie ich ALLE (blind) Injections verhindern kann!

und da ich bei google nur finden kann, wie man solche angriffe macht, aber nicht, wie man sie behebt, frage ich hier.

**TobiaZ** · 03.09.2007, 22:40

dann nenn' uns die Angriffe.

Man, deine Initiative ist...

Du willst doch Hilfe, oder sehe ich das falsch?

**Seggl-hoch-drei** · 03.09.2007, 22:56

ok, ich will verhindern, dass man zugriff auf die datenbank + tabellen erhält.

wenn z.B. in nem POSt-Form ein text eingegeben wird und dieser schädliches enthält, soll er gefiltert werden.

nnur wie erkenne ich, ob der text schädlich ist?

**penizillin** · 03.09.2007, 23:18

anscheinend weißt du selbst nicht, wogegen du dich absichern willst.
auf diesem niveau reicht dir alles, was du im manual zum thema sicherheit findest sowie drei dutzend anleitungen, die man bei google unter einschlägigen suchbegriffen findet. bis dahin helfen dir keine fragen nach "rundum schutz gegen alles".

**Seggl-hoch-drei** · 03.09.2007, 23:32

was genau ist an meiner frage denn so unverständlich?

Blind SQL Injection