Sikkerhedshul uden addslashes

Jeg må indrømme, jeg forstår ikke helt hvad du spørger om.
Hvis det er løsningen på problemet, har du den jo selv: nemlig addslashes() eller mysql_real_escape_string().

Er det hvad hackere kan bruge hullet til du vil vide, eller...?

http://xkcd.com/327/

Du kan jo sætte dig ned og lege. Hvad kan du finde på at skrive af ondsindede sql koammndoer, når du har mulighed for at bryde ud af 'strengen'?

gammelhat->
jeg har siddet og leget med det og har ikke fået andet ud af det end den fejl der.
Hvad kan man lave af ondesindede sql kommandoer?

Angrebstypen kaldes for "SQL injection", og enhver seriøs webprogrammør skal kende til farene ved at bare tage imod alt input helt ukritisk:

http://en.wikipedia.org/wiki/SQL_injection

Jeg ved det er kritisk hvis man ikke benytter det til sine inputs, benytter også addslashes, altid.

Men jeg spørger hvordan og hvad man kan få ud af det, hvis der er en tumpe der ikke har lavet det i f.eks. en gæstebog?

Nu er det jo altså en direkte overtrædelse af Ekspertens regeler at fortælle folk den slags. Hvis man er samvittighedsfuld fortæller man det til vedkommende, og ellers bør man fortælle det til hans udbyder.

Problemet er ikke så meget at det kan gå ud over ham og hans gæstebog - ja hele hans site - men at det kan faktisk gå ud over dem som har postet i god tro på hans gæstebog.

Det er nu mysql_real_escape_string du bør bruge - addslashes er ikke sikker nok i multi-byte tegnsæt ;)

Erik's link er et udemærket eksempel - man kan redigere alt muligt i tabeller.

Lige netop med PHP og mysql_query er det ikke HELT så stort et problem som det potentielt kunne være, fordi den (endnu) smider ekstra queries væk - dermed havde eksemplet i den xkcd ikke gået - men det er stadig rigeligt stort, da det giver mulighed for eks. at slette alt i en tabel hvor man ellers kun skulle have kunnet slettet en række - det kan endda være muligt at logge ind som en vilkårlig bruger, såsom administratoren så længe man kender brugernavnet. Desuden kan det jo tænkes det på et tidspunkt bliver ændret, og der er jo ingen grund til at friste skæbnen

Ideelt set bør man faktisk bruge bind parameters, da der er mindre risiko for fejl i den funktionalitet end i databasens escaping-funktion (det er før set at der var problemer med visse MBCS - både i MySQL og i PostgreSQL) - i PHP vil det så for MySQLs vedkommende kræve mysqli-extensionen i stedet for den normale mysql-extension.

Altså man kan få oplyst oplygninger fra dens database?

Det kan man meget sjældent, da du normalt ikke har adgang til den viden der er nødvendig for at tilføje oplysninger til en SELECT så der kommer flere ting ud.

Ville man kunne slette den tabel - Hvordan?:

$tjek_id = mysql_query("SELECT * FROM baggrunde WHERE id LIKE '$_GET[id]'");
if(mysql_num_rows($tjek_id) == "0") {
echo("Der findes ingen baggrund med dette id!");

I denne kode benyttes $_GET[] fra en url

lukket.