Som besökare på Hamsterpaj samtycker du till användandet av s.k. cookies för att förbättra din upplevelse hos oss. Jag förstår, ta bort denna ruta!
Annons

SQL Injection

Skapad av Diskmedel, 2009-01-31 21:28 i Webbutveckling & Programmering

351
4 inlägg
1 poäng
Diskmedel
Visningsbild
P 33 Örebro Hjälte 4 442 inlägg
1
Hallå där!
Jag har en fråga till alla som är lite kunniga med SQL-Databaser. Frågan kanske låter lite töntig, och kanske självklar, men jag får ta och riskera det för att vara på den säkra sidan.

Om man gör en SQL Injection som lyckas, och man får fram hela användardatabasen, finns det någon risk alls att administratören ser att det har skett en injektion? Hur skulle det isf. se det? Ser de att det har hämtats information ur databasen? Stegen är endast fram tills informationen har hämtats ur databasen och skrivits ut på webbsidan.

Partydödare på Spotify: http://open.spotify.com/user/dizkiz/playlist/2Udmokbmx9W9bRVTtS09Fz

Är reklamen ivägen? Logga in eller registrera dig så försvinner den!

Lef
Visningsbild
P 34 Stockholm Hjälte 1 846 inlägg
0

Svar till Diskmedel [Gå till post]:

Ptja, det beror ju lite på hur man loggar.
På Hamsterpaj skulle vi troligtvis se den i slow-query loggen då det skulle bli en ganska tung fråga om du plockade alla användare samt lösenordshashar. Men vi skulle inte se vem som gjort dem.

Sedan om man misslyckas så skulle det kunna ploppa up i apaches error log också.

Sen kan ju andra sidor logga till mycket högre grad. Exempelvis att man ser till att alla databasfrågor som hämtar lösen och som inte går via loginsidan loggas.

Hej hopp plopp

Diskmedel
Visningsbild
P 33 Örebro Hjälte 4 442 inlägg
Trådskapare
0

Svar till Lef [Gå till post]:

Okej, så låt säga att administratören loggar "till hög grad", och alla frågorna som inte går via loginsidan kommer att loggas, så loggas även IP-adress tillsammans med error-loggen alltså, för att spåra intrångsförsök?

Och apaches error-log loggar inte heller IP-adresser tillsammans med felmeddelandet som uppstod, eller hur?

Partydödare på Spotify: http://open.spotify.com/user/dizkiz/playlist/2Udmokbmx9W9bRVTtS09Fz

Lef
Visningsbild
P 34 Stockholm Hjälte 1 846 inlägg
0

Svar till Diskmedel [Gå till post]:

Apaches error log lagrar IP jo.

Om du vill logga de frågerna så har du en hemmabyggd lösning troligtvis, jag har aldrig sett någon göra det. Men jag skulle logga IP-adresser tillsammans med query och tidpunkt, ja.

Inte för att det hela är speciellt värt då folk som sysslar med sådant sitter bakom proxies. Men som på Hamsterpaj som är en medlemssida så kan man ju få ut lite mer genom att logga vilken användare.

Hej hopp plopp


Forum » Datorer & IT » Webbutveckling & Programmering » SQL Injection

Ansvariga ordningsvakter:

Användare som läser i den här tråden just nu

1 utloggad

Skriv ett nytt inlägg

Hej! Innan du skriver om ett potentiellt problem så vill vi påminna dig om att du faktiskt inte är ensam. Du är inte onormal och världen kommer inte att gå under, vi lovar! Så slappna av och gilla livet i några minuter - känns det fortfarande hemskt? Skriv gärna ner dina tankar och frågor, vi älskar att hjälpa just dig!

Den här tråden är äldre än Rojks drömtjej!

Det senaste inlägget i den här tråden skrevs för över tre månader sedan. Är du säker på att du vill återuppliva diskussionen? Har du något vettigt att tillföra eller passar din fråga i en ny tråd? Onödiga återupplivningar kommer att låsas så tänk efter en extra gång!

Hjälp

Det här är en hjälpruta

Här får du korta tips och förklaringar om forumet. Välj kapitel i rullningslisten här ovanför.

Rutan uppdateras automagiskt

När du använder funktioner i forumet så visas bra tips här.


Annons
Annons
Annons
Annons