4. Xampp und Mysql Injection local auf Ubuntu

Xampp und Mysql Injection local auf Ubuntu

  • ?

    Hallo,

    Habe local versucht mysql injection versuche nachzuspielen mit folgendem script

    <?php
include 'connect.php';

function do_search ($keyword)
{
	echo '<b>Statistics ['.$keyword.']:<br></b>';

	$query = 'SELECT downloads,uploads FROM user WHERE name="'.$keyword.'"';
echo $query;
	$result = mysql_query($query) or die(mysql_error());
  	while($row = mysql_fetch_object($result) )
    	{
    		echo 'Uploads: '.$row->uploads;
		echo '<br>Downloads: '.$row->downloads;
		echo '<br><br>';
	}
	echo '<hr>';
}
?>

    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*"' at line 1

    Injection hervorgerufen mit:

    test" /*
    test" --
    test" */

    (injection wrid mit " hervorgerufen)
    => Kommentare scheinen ignoriert zu werden:
    syntax to use near '/*"' at line 1

    Magic_Quotes ist von mir auf OFF gestellt worden.

    Grüße

    0
  • U

    wo ist dein Problem?
    Die Antwort ist ja verständlich:
    aufgelöst:

    SELECT downloads,uploads FROM user WHERE name="/*"

    du kannst auch als injection z.B. union nehmen oder

    $keyword = 'abc" OR 1=1'

    das kommt, wenn du in $keyword direkt deine eingabe speicherst, ohne diese zu vertifizieren, bzw mysql-escape-funktionen zu benutzen

    0
Anmelden zum Antworten