yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB Lite 1.0.x » [WBB Lite 1.0.x] Ideen, Wünsche und Suche » SQL Injections im Lite 1 Absichern

SQL Injections im Lite 1 Absichern

S!equenz
Hallo Leute,

Ich hab jetzt Ferien/Urlaub wie mans nennen möchte und daher möchte ich diese Zeit endlich nutzen
um mal mein altes Lite 1 abzusichern. Zumindest mal anzufangen diverse Lücken zu schließen.

Eventuell könnt ihr mir helfen, ein Kumpel von mir meinte mal ich müsse in allen Datein nach einer bestimmten
Codestelle suchen und diese dann durch eine andere ersetzen. Leider hab ich den ICQ verlauf nichtmehr und kann nichtmehr nachschauen.

Eventuell könnt ihr mir helfen meine SQL Injections zu fixxen?
Ich würde auch gerne eine Anleitung dazu schreiben/dokumentieren und dann hier hochladen !
mkkcs
-> Diverse Bugfix/Sicherheitsupdates für das WBBLite

-> wbb lite 1.0.2 Updates des Burning Board Lite (inkl. Changelogs)

-> allgemeines wbb lite "codeschnipsel"-Brett

ansonsten solltest Du Dein lite aktuelle auf das 1.0.2 pl3 inkl. o.a. Bugfixes haben, dann solltest Du auch soweit Sicher sein.
Das kann ich nur für das Lite selber sagen, falls Du die div. Hacks und Addons eingebaut haben, solltest Du natürlich Dich bei den Hackerstellern/-supportern nachschauen, ob Diese auch aktuell sind.
S!equenz
was genau hat es mit invital und addslashes auf sich, dies scheinen ja die
änderungen zu sein und ich glaub mein kumpel hat auch was mit invital gelabert gehabt.

Und warum wurden sie genau da platziert ?
mkkcs
Zitat:
Original von S!equenz
was genau hat es mit invital und addslashes auf sich, dies scheinen ja die
änderungen zu sein und ich glaub mein kumpel hat auch was mit invital gelabert gehabt.

Und warum wurden sie genau da platziert ?

weil intval macht aus einer Stringangabe wie z.B.: 1a => 1
somit werden jegliche SQL-Eingaben in Feldern wo eigentlich nur eine Zahl eingetragen werden soll auch eine Zahl als Ergebnis!

und bei addslashes werden alle Sonderzeichen wie ' mit einem / vorangestellt, und somit sind dann auch SQL-Anweisungen hinfällig und werden unwirksam.

wie so ein SQL jetzt aussehen kann werde ich nicht posten.
S!equenz
Und woran erkenne ich an welchen Stellen es sinn macht das zu platzieren ?
mkkcs
in allen SQL-Anweisungen die mit INSERT oder UPDATE anfangen, oder halt da wo ein $_POST oder ein $_REQUEST Wert eingefangen wird.
Schrimm
Zitat:
Original von mkkcs
in allen SQL-Anweisungen die mit INSERT oder UPDATE anfangen...

Bei jeder SQL-Abfrage(Verbindung), sofern von "außen"(anderen Nutzern) etwas "änderbar" ist. Belehr
S!equenz
Dann sitz ich da ja wochenlang dran ???
Schrimm
Kommt drauf an...
Für einen Anfänger in Sachen wbblite dürfte es schon ziemlich schwierig sein die "richtigen Stellen" zu finden.

Lieber ein paar "intval()" und "addslashes()" zu viel setzen, als zu wenige. Augenzwinkern
Forensoftware: Burning Board, entwickelt von WoltLab GmbH