LinkBack URL
About LinkBacks
Zitierenguter Hinweis. Hier sieht man auch das die Hacker oft mit entities arbeiten und nicht mit normalen chars, daher greifen gewöhnliche Stringvergleiche auch nicht.
Hallo Dynamiker,
viele von Euch, mich eingeschlossen, benutzen konsequent die entsprechenden Funktionen um der Datenbank das escapen von potentiell schädlichen Benutzereingaben zu überlassen - dazu zählt allen voran mysql_real_escape_string. Allerdings gibt es noch sehr viele Programmierer die denken, dass addslashes genauso gut ist um Benutzereingaben unschädlich zu machen. Oftmals geschieht das sogar aus purer Faulheit, weil man ja viiiiel weniger tippen muß.
Beim stöbern durch's Web habe ich einen interessanten Artikel gefunden, der mit wenigen Zeilen Code eindrucksvoll demonstriert, wie man das vermeintliche "entschärfen" mit addslashes komplett umgehen kann um sich Zugang zu einem Useraccount zu verschaffen.
#.Viele Grüße - Andreas
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
PHP Tutorials und kostenlose Scripts gibt's bei phpBuddy.eu
Follow phpBuddy on Twitter
LTFB - anfängerfreundliche Tutorials
.
guter Hinweis. Hier sieht man auch das die Hacker oft mit entities arbeiten und nicht mit normalen chars, daher greifen gewöhnliche Stringvergleiche auch nicht.
TYPO3 · MySQLDumper · dislabs
·
manche Mühlen mahlen schneller ...
"Ich habe Rücken"
Horst Schlämmer
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
